select * from `XWD_userlist` WHERE `username` = ' ' or 1#' and password = 'sndasdnalskd'
如上就是一條SQL注入語句
用戶在登錄的時候陶缺,做一些非法輸入漠魏,如username 用戶欄輸入 :' or #
就能形成sql注入澳厢。
如何防止sql注入
php層加 addslashes();
如:username = addslashes(addslashes);
這樣SQL語句就變成了下面的格式:
select * from `XWD_userlist` WHERE `userid` = ' \' or 1#' and password = 'sndasdnalskd'