mysql - 仅仅只是把单引号与反斜杠转义不用prepare statement能否避免sql注入？

Question

比如我输入登录名login_name 为 ' 就拼出这种sql：

  SELECT * FROM account WHERE (1) AND (`account`.login_name = '\\'') 

输入登录名login_name 为 ' or 1 = 1 就拼出这种sql：

SELECT * FROM account WHERE (1) AND (`account`.login_name = '\' or 1 = 1') 

这样能否避免sql注入？

Answer 1

不行吧，假设login_name为' or 1 = 1，转义后的结果是什么？