简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
首頁
文章
問答
課程
專題
下載
遊戲
詞典
最近更新

首頁  >  問答  >  主體

mysql - 只是把單引號與反斜線轉義不用prepare statement能否避免sql注入?

例如我輸入登入名稱login_name 為 \' 就拼出這種sql:

  SELECT * FROM account WHERE (1) AND (`account`.login_name = '\\'')

輸入登入名稱login_name 為 ' or 1 = 1 就拼出這種sql:

SELECT * FROM account WHERE (1) AND (`account`.login_name = '\' or 1 = 1')

這樣能否避免sql注入?

PHPzPHPz2710 天前749

全部回覆(1)我來回復

  • PHPz

    PHPz2017-05-18 10:50:57

    不行吧,假設login_name為' or 1 = 1,轉義後的結果是什麼?

    回覆
    0
  • 取消回覆