sql注入方法:
1.数字注入
select * from a where id = 1;
get请求 www.bobo.com?id=1 可以查出 ID等于1的一条数据。
如果有人在链接后面增加 www.bobo.com?id=1 or 1=1 / www.bobo.com?id=-1 or 1=1 这样就会查出 所有的数据来 因为永远为真了。
2.字符串注入
post 请求
表单里面 比如 名字:zhangsan' # 这样sql就会把引号后面的当成 注释 '-- 也是
防范:
判断为空的参数
字符串转译 addslashes