mysql – Kann SQL-Injection vermieden werden, indem einfach einfache Anführungszeichen und Backslashes ohne Verwendung einer Prepare-Anweisung maskiert werden?

Question

Wenn ich zum Beispiel den Anmeldenamen login_name als ' eingebe, buchstabiere ich diese SQL:

  SELECT * FROM account WHERE (1) AND (`account`.login_name = '\\'') 

Geben Sie den Anmeldenamen login_name als ' or 1 = 1 ein, um diese SQL zu buchstabieren:

SELECT * FROM account WHERE (1) AND (`account`.login_name = '\' or 1 = 1') 

Kann dies die SQL-Injektion vermeiden?

Answer 1

不行吧，假设login_name为' or 1 = 1，转义后的结果是什么？