文章詳情頁
mysql - 僅僅只是把單引號與反斜杠轉義不用prepare statement能否避免sql注入?
瀏覽:157日期:2022-06-13 09:23:48
問題描述
比如我輸入登錄名login_name 為 ’ 就拼出這種sql:
SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’’)
輸入登錄名login_name 為 ’ or 1 = 1 就拼出這種sql:
SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’ or 1 = 1’)
這樣能否避免sql注入?
問題解答
回答1:不行吧,假設login_name為’ or 1 = 1,轉義后的結果是什么?
相關文章:
1. javascript - 按鈕鏈接到另一個網址 怎么通過百度統計計算按鈕的點擊數量2. mysql 獲取時間函數unix_timestamp 問題?3. (python)關于如何做到按win+R再輸入文件文件名就可以運行?4. java - Mybatis 數據庫多表關聯分頁的問題5. 新入手layuiadmin,部署到tp中。想用php自已寫一個后臺管理系統。6. 急急急!!!求大神解答網站評論問題,有大神幫幫小弟嗎7. php - 生產環境下,給MySQL添加索引,修改表結構操作,如何才能讓線上業務不受影響?8. python - 請問這兩個地方是為什么呢?9. android - 安卓做前端,PHP做后臺服務器 有什么需要注意的?10. mysql - Sql union 操作
排行榜
網公網安備