简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
mysql - 只是把單引號與反斜線轉義不用prepare statement能否避免sql注入?
PHPz
PHPz 2017-05-18 10:48:57
0
1
756

例如我輸入登入名稱login_name 為 \' 就拼出這種sql:

  SELECT * FROM account WHERE (1) AND (`account`.login_name = '\\'')

輸入登入名稱login_name 為 ' or 1 = 1 就拼出這種sql:

SELECT * FROM account WHERE (1) AND (`account`.login_name = '\' or 1 = 1')

這樣能否避免sql注入?

PHPz
PHPz

学习是最好的投资!

全部回覆(1)
PHPzhong
PHPzhong2017-05-18 10:50:57 1樓

不行吧,假設login_name為' or 1 = 1,轉義後的結果是什麼?

點贊 +0
新增回覆
熱門專題
更多>
熱門文章
熱門教學
更多>
相關教學
熱門推薦
最新課程
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板
關於我們 免責聲明 Sitemap
PHP中文網:公益線上PHP培訓,幫助PHP學習者快速成長!