黑客游戏SQL注入这一关怎么破

1、答案很简单，order by 1000000 还是不报错，是因为我们的注入语句没有运行。

2、一般来说，有两种方法可以确保应用程序不易受到SQL注入攻击。一种是使用代码审查，另一种是强制使用参数化语句。强制使用参数化语句意味着在运行时将拒绝嵌入用户输入中的SQL语句。但是，目前对此功能的支持不多。

3、select TOP 1 可以让返回结果限制为最多一条。或者 先用SELECT COUNT(*)判断一下，如果返回结果小于等于1，那就查询具体内容，否则就不查询。