$strSQL = "SELECT * FROM Benutzer WHERE Benutzername = '".$Benutzer."' AND Password = '".md5($PW)."'";
变量
$Benutzer
和$PW
是用户输入的内容。我们正在检查用户名和密码是否存在常见的SQL注入技术:
我有什么遗漏吗? 我应该使用不同的方法来防止SQL注入吗?
' or 0=0 --
," or 0=0 --
,or 0=0 --
,' or 0=0 #
," or 0=0 #
,or 0=0 #
,' or 'x'='x
," or "x"="x
,') or ('x'='x
,' or 1=1--
," or 1=1--
,or 1=1--
,' or a=a--
," or "a"="a
,') or ('a'='a
,") or ("a"="a
,hi" or "a"="a
,hi" or 1=1 --
,hi' or 1=1 --
,hi' or 'a'='a
,hi') or ('a'='a
andhi") or ("a"="a
。