参考答案：

利用sql语言漏洞获得合法身份登陆系统。如身份验证的程序设计成：

SqlCommandcom=newSqlCommand（"Select*fromuserswhereusername=’"+t_name.text+"’andpwd=’"+t_pwd.text+"’"）；

objectobj=com.ExcuteScale（）；

if（obj!=null）

{

//通过验证

}

这段代码容易被sql注入。如用户在t_name中随便输入，在t_pwd中输入1’and1=’1就可以进入系统了。