十二、sql注入

1.数字注入

id = -1 AND 1=1使得查询条件永远为真

2.字符串注入

输入 xxx’#或则xx’— 注释掉后面的代码使得前面查询为真

防止

1.对输入类型和格式过校验

2.过滤转义输入字符

3.mysqli预编译