即使 ' 字符被删除,也有办法注入 SQL。
注入 SQL 的方法主要有以下几种:
- 使用参数化查询(Parameterized Query):参数化查询是一种将参数与 SQL 语句分开传递的方法,可以避免 SQL 注入的风险。
- 使用预编译语句(Prepared Statement):预编译语句是将 SQL 语句编译成一个执行计划,然后再传递参数执行的方法,可以有效地防止 SQL 注入的风险。
- 对用户输入进行过滤和转义:对用户输入的数据进行过滤和转义,可以避免 SQL 注入的风险。
- 使用安全的 API:使用安全的 API,如使用 PHP 的 PDO 扩展名或 Python 的 pymysql 库等,可以有效地防止 SQL 注入的风险。
总之,即使 ' 字符被删除,也可以通过以上方法避免 SQL 注入的风险。