有人告诉我,转义单引号的方法很容易在 sql 注入攻击中绕过。例如,如果我有这条线:
username='admin' and password='$password'
在用户输入“$password”的地方,他们输入的任何单引号都被双引号替换,你能给我一个可以破坏这个的示例命令吗?我知道反斜杠字符( \ )用于转义字符,但我不确定它会如何工作。
问问题
732 次
有人告诉我,转义单引号的方法很容易在 sql 注入攻击中绕过。例如,如果我有这条线:
username='admin' and password='$password'
在用户输入“$password”的地方,他们输入的任何单引号都被双引号替换,你能给我一个可以破坏这个的示例命令吗?我知道反斜杠字符( \ )用于转义字符,但我不确定它会如何工作。