假如可以sql注入
假设在登录的页面,在输入用户名的地方输入此内容' or 1=1 --,密码随便输入
那么在mysql合成的sql语句会是
select * from user where name='' or 1=1 -- and password='123456';
在mysql中-- 是注释掉本行代码所以会注释掉此后的条件,1=1永真.那么以上sql会查出来用户表的所有数据.
同理oracle注释替换掉mysql注释
假如可以sql注入
假设在登录的页面,在输入用户名的地方输入此内容' or 1=1 --,密码随便输入
那么在mysql合成的sql语句会是
select * from user where name='' or 1=1 -- and password='123456';
在mysql中-- 是注释掉本行代码所以会注释掉此后的条件,1=1永真.那么以上sql会查出来用户表的所有数据.
同理oracle注释替换掉mysql注释