<分区>
所以我知道 SQL 注入(inject)攻击的基础知识,其中的条目未经过清理。所以
SELECT id FROM users WHERE username='$username' AND password='$password'
(注意 $password 是散列的)将被 $username=x' 或 1=1 击败; --
一个 friend 说,如果你在你的源代码中加入一个\n字符,那么你就不能把剩下的查询注释掉。所以如果你有
Select id
from users
where username='$username'
and password='$password'
在php中,然后将其提交给查询,那么即使他们试图注释掉用户名,它也会出错,因为和password='$password'仍然会尝试并被执行.
我试过了,他似乎是对的。所以,我的问题是,虽然您仍然应该清理数据库输入,但这是否可以防止此类攻击,或者是否仍然有办法绕过它?
我不知道这是否重要,但我在这里专门谈论 mysql。