mysql - Bolehkah suntikan sql dielakkan dengan hanya melepaskan petikan tunggal dan garis miring ke belakang tanpa menggunakan pernyataan sediakan?

Question

Sebagai contoh, jika saya memasukkan nama log masuk login_name sebagai ', saya akan mengeja SQL ini:

  SELECT * FROM account WHERE (1) AND (`account`.login_name = '\\'') 

Masukkan nama log masuk login_name sebagai ' or 1 = 1 untuk mengeja SQL ini:

SELECT * FROM account WHERE (1) AND (`account`.login_name = '\' or 1 = 1') 

Bolehkah ini mengelakkan suntikan sql?

Answer 1

Tidak, andaikan nama_log masuk ialah ' atau 1 = 1, apakah keputusan selepas melarikan diri?