比如我输入登录名login_name 为 ' 就拼出这种sql:
'
SELECT * FROM account WHERE (1) AND (`account`.login_name = '\\'')
输入登录名login_name 为 ' or 1 = 1 就拼出这种sql:
' or 1 = 1
SELECT * FROM account WHERE (1) AND (`account`.login_name = '\' or 1 = 1')
这样能否避免sql注入?
学习是最好的投资!
不行吧,假设login_name为' or 1 = 1,转义后的结果是什么?
不行吧,假设login_name为' or 1 = 1,转义后的结果是什么?