墨

摘要： execute()之sql注入 注意：符号--会注释掉它之后的sql，正确的语法：--后至少有一个任意字符 根本原理：就根据程序的字符串拼接name='%s'，我们输入一个xxx' -- haha,用我们输入的xxx加'在程序中拼接成一个判断条件name='xxx' -- haha' 解决方法： 获 阅读全文