文章详情页

mysql - 仅仅只是把单引号与反斜杠转义不用prepare statement能否避免sql注入？

浏览：197日期：2022-06-13 09:23:48

问题描述

比如我输入登录名login_name 为 ’ 就拼出这种sql：

SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’’)

输入登录名login_name 为 ’ or 1 = 1 就拼出这种sql：

SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’ or 1 = 1’)

这样能否避免sql注入？

问题解答

回答1：

不行吧，假设login_name为’ or 1 = 1，转义后的结果是什么？

上一条：什么操作会导致mysql的binlog_size快速变大？下一条：mysql - 这种分级一对多，且分级不平衡的模型该怎么设计表？

相关文章：

1. python - 求一个在def中可以实现调用本def满足特定条件continue效果的方法（标题说不太清楚，请见题内描述）2. mysql - SQL操作时间的函数?3. MYSQL新建用户设置可以远程访问的问题4. angular.js - angularjs的自定义过滤器如何给文字加颜色？5. docker内创建jenkins访问另一个容器下的服务器问题6. javascript - 用表单提交两个时间段请求后台返回对应数据时出现的一些问题！7. node.js - nodejs和前端JavaScript 字符串处理结果不一样是什么原因？8. java - mybatis怎么实现在数据库中有就修改,没有就添加9. 正则表达式 - python pandas的sep参数问题10. javascript - ionic run android报错

排行榜

					
					python - 求一个在def中可以实现调用本def满足特定条件continue效果的方法（标题说不太清楚，请见题内描述）
mysql - SQL操作时间的函数?
javascript - 用表单提交两个时间段请求后台返回对应数据时出现的一些问题！
angular.js - angularjs的自定义过滤器如何给文字加颜色？
docker内创建jenkins访问另一个容器下的服务器问题
MYSQL新建用户设置可以远程访问的问题
node.js - nodejs和前端JavaScript 字符串处理结果不一样是什么原因？
java - mybatis怎么实现在数据库中有就修改,没有就添加
正则表达式 - python pandas的sep参数问题
javascript - ionic run android报错
javascript - c#如何向js传值
				

热门标签