Wenn ich zum Beispiel den Anmeldenamen login_name als ' eingebe, buchstabiere ich diese SQL:
SELECT * FROM account WHERE (1) AND (`account`.login_name = '\\'')
Geben Sie den Anmeldenamen login_name als ' or 1 = 1 ein, um diese SQL zu buchstabieren:
SELECT * FROM account WHERE (1) AND (`account`.login_name = '\' or 1 = 1')
Kann dies die SQL-Injektion vermeiden?
不行吧,假设login_name为' or 1 = 1,转义后的结果是什么?