Par exemple, si je saisis le nom de connexion login_name comme ', j'épelerai ce SQL :
SELECT * FROM account WHERE (1) AND (`account`.login_name = '\\'')
Entrez le nom de connexion login_name comme ' or 1 = 1 pour épeler ce SQL :
SELECT * FROM account WHERE (1) AND (`account`.login_name = '\' or 1 = 1')
Cela peut-il éviter l'injection SQL ?
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
Non, en supposant que login_name soit ' ou 1 = 1, quel est le résultat après l'évasion ?