文章詳情頁
mysql - 僅僅只是把單引號與反斜杠轉義不用prepare statement能否避免sql注入?
瀏覽:164日期:2022-06-13 09:23:48
問題描述
比如我輸入登錄名login_name 為 ’ 就拼出這種sql:
SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’’)
輸入登錄名login_name 為 ’ or 1 = 1 就拼出這種sql:
SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’ or 1 = 1’)
這樣能否避免sql注入?
問題解答
回答1:不行吧,假設login_name為’ or 1 = 1,轉義后的結果是什么?
相關文章:
1. docker - 各位電腦上有多少個容器啊?容器一多,自己都搞混了,咋辦呢?2. java - spring boot 如何打包成asp.net core 那種獨立應用?3. java - 在用戶不登錄的情況下,用戶如何添加保存到購物車?4. datetime - Python如何獲取當前時間5. docker start -a dockername 老是卡住,什么情況?6. javascript - nginx反向代理靜態資源403錯誤?7. docker網絡端口映射,沒有方便點的操作方法么?8. 安全性測試 - nodejs中如何防mySQL注入9. javascript - 關于apply()與call()的問題10. python - 調用api輸出頁面,會有標簽出現,請問如何清掉?
排行榜
網公網安備