文章详情页
mysql - 仅仅只是把单引号与反斜杠转义不用prepare statement能否避免sql注入?
浏览:172日期:2022-06-13 09:23:48
问题描述
比如我输入登录名login_name 为 ’ 就拼出这种sql:
SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’’)
输入登录名login_name 为 ’ or 1 = 1 就拼出这种sql:
SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’ or 1 = 1’)
这样能否避免sql注入?
问题解答
回答1:不行吧,假设login_name为’ or 1 = 1,转义后的结果是什么?
相关文章:
1. docker-compose 为何找不到配置文件?2. 前端 - css3 3d效果问题3. python的bs4如何筛选出h1标签中的内容4. java - spring-data Jpa 不需要执行save 语句,Set字段就可以自动执行保存的方法?求解5. android - 安卓做前端,PHP做后台服务器 有什么需要注意的?6. javascript - JS设置Video视频对象的currentTime时出现了问题,IE,Edge,火狐,都可以设置,反而chrom却...7. python - django models 为生成的html元素添加样式。8. docker gitlab 如何git clone?9. javascript - node服务端渲染的困惑10. javascript - [MUI 子webview定位]
排行榜
网公网安备