什么叫做sql注入???
sql注入算是一些不法分子的攻击手段,通过sql语句来实现无账号密码登录及其他操作。
比如在一个需要登录的界面:
账号输入成这样的话,密码可以随意,那么能很轻易的登录进去。因为在这条sql执行的时候,后台的sql语句生成会出现:
SELECT * FROM table WHERE username='’or 1 = 1 -- and password='’
这种情况下 根本都不需要输入密码,在没有密码的时候,走OR 1=1 ,1为真那么可以轻易不需要密码的进入。
要想防止sql注入这种 攻击,在本人上篇博客里有利用PDO的预处理进行防sql注入;