在皮卡丘平台进行实验
看一下代码
可以看到,代码中直接把name拼接到sql语句中,当我们把name设置为 xx' or 1=1#时,原来的查询语句被拼接为
select id,email from member where username='xx' or 1=1#,这样把member中的所有数据都查询出来了。
在皮卡丘平台进行实验
看一下代码
可以看到,代码中直接把name拼接到sql语句中,当我们把name设置为 xx' or 1=1#时,原来的查询语句被拼接为
select id,email from member where username='xx' or 1=1#,这样把member中的所有数据都查询出来了。