表单遭到SQL注入攻击

表单的攻击被称为一种SQL注入攻击，这里用到一种极其狡猾的手段，使用表单数据作为一种途径来修改查询的基本操作。所以表单域并不只是提供一段信息。如用户或其它数据，它还会扰乱SQL查询本身。对于SQL注入使用了其它的一个域作为手段，不仅可以提供数据，还提供了截屏图文件名和批准值，一起最后的一个注释来防止原SQL代码生成一个错误。

表单域是web应用的一个安全漏洞，因为它们允许用户输入数据。在SQL中还有其它类型的注释，单行注释的另一种变型需要用到#而不是--，不过它同样会将注释之后直到行末的SQL代码注释掉。SQL还支持多行注释，与PHP 的多行注释相似，也是将注释代码包围在/*和*/之间。

如果approved列不在数据库表的最后一列，SQL注入攻击就不能起到作用了。这一点非常重要，这个特定的INSERT查询依赖于表中列的默认顺序。在查询的左后增加1之所以恰好能生效，其原因就在于approved是最后一列，就在screenshot列后面。