文章詳情頁
mysql - 僅僅只是把單引號與反斜杠轉義不用prepare statement能否避免sql注入?
瀏覽:220日期:2022-06-13 09:23:48
問題描述
比如我輸入登錄名login_name 為 ’ 就拼出這種sql:
SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’’)
輸入登錄名login_name 為 ’ or 1 = 1 就拼出這種sql:
SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’ or 1 = 1’)
這樣能否避免sql注入?
問題解答
回答1:不行吧,假設login_name為’ or 1 = 1,轉義后的結果是什么?
相關文章:
1. css3 讓圖片變成灰色(filter),但針對IE11瀏覽器無效2. macos - 無法source activate python273. 運行python程序時出現“應用程序發生異常”的內存錯誤?4. java - 同步/異步與阻塞/非阻塞之間的差異具體是什么?5. html - vue里面:src在IE(9-11)下不顯示圖片6. java - butterknife怎么綁定多個view7. android - Genymotion 模擬器可以做屏幕適配檢測嗎?8. html5 - 前端面試碰到了一個緩存數據的問題,來論壇上請教一下9. javascript - 打算寫一個c++的node圖像處理模塊,有沒有推薦的c++圖片處理庫?10. html5 - 在HBuilder中打包Android的apk包出錯,不知道是什么原因。
排行榜
網公網安備