蓝色的地方代表是后台的数据库代码
红色的地方代表在网页端用户输入的内容
1、如何判断是否存在sql注入
输入:...' and 1=1# 返回正确结果
输入:...' and 1=2# 没有返回结果
表示and后面的语句成功执行,表示该数据库窜在存在sql注入漏洞
(tips:#的作用是注释掉后续的sql语句,即 ';)
2、如何防御sql注入
过滤+PDO
medium:
如果仅仅转义特殊字符,如将' 改成\',还是有漏洞
蓝色的地方代表是后台的数据库代码
红色的地方代表在网页端用户输入的内容
1、如何判断是否存在sql注入
输入:...' and 1=1# 返回正确结果
输入:...' and 1=2# 没有返回结果
表示and后面的语句成功执行,表示该数据库窜在存在sql注入漏洞
(tips:#的作用是注释掉后续的sql语句,即 ';)
2、如何防御sql注入
过滤+PDO
medium:
如果仅仅转义特殊字符,如将' 改成\',还是有漏洞