文章詳情頁
mysql - 僅僅只是把單引號與反斜杠轉義不用prepare statement能否避免sql注入?
瀏覽:149日期:2022-06-13 09:23:48
問題描述
比如我輸入登錄名login_name 為 ’ 就拼出這種sql:
SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’’)
輸入登錄名login_name 為 ’ or 1 = 1 就拼出這種sql:
SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’ or 1 = 1’)
這樣能否避免sql注入?
問題解答
回答1:不行吧,假設login_name為’ or 1 = 1,轉義后的結果是什么?
相關文章:
1. mysql - AttributeError: ’module’ object has no attribute ’MatchType’2. php自學從哪里開始?3. javascript - 百度echarts series數據更新問題4. MySQL客戶端吃掉了SQL注解?5. 求大神幫我看看是哪里寫錯了 感謝細心解答6. javascript - JS設置Video視頻對象的currentTime時出現了問題,IE,Edge,火狐,都可以設置,反而chrom卻...7. javascript - 圖片能在網站顯示,但控制臺仍舊報錯403 (Forbidden)8. python小白的基礎問題 關于while循環的嵌套9. phpstady在win10上運行10. python - Django分頁和查詢參數的問題
排行榜
網公網安備