mysql - 只是把單引號與反斜線轉義不用prepare statement能否避免sql注入？

Question

例如我輸入登入名稱login_name 為 \' 就拼出這種sql：

  SELECT * FROM account WHERE (1) AND (`account`.login_name = '\\'') 

輸入登入名稱login_name 為 ' or 1 = 1 就拼出這種sql：

SELECT * FROM account WHERE (1) AND (`account`.login_name = '\' or 1 = 1') 

這樣能否避免sql注入？

Answer 1

不行吧，假設login_name為' or 1 = 1，轉義後的結果是什麼？