SQL注入过滤单引号是否无解

单引号是否无解"/>

SQL注入过滤单引号是否无解

sql注入攻击能够得逞，往往是因为前台页面传递的参数含有非法字符，导致sql原有逻辑发生改变。

如经典的登录验证例子：

假设数据库中username=admin，password=admin123

 public static void main(String[] args) throws Exception {
       String name="admin";
       String password="admin123";
       String sql="select * from user_table where username='"+name+"' and password='"+password+"'";
       System.out.println(sql);
 }

控制台输出拼接后的sql为：select * from user_table where username='admin' and password='admin123'（达到验证用户名，密码效果）

但是恶意攻击者不知道用户名，密码，通过如下方式仍能通过验证，登陆系统

 public static void main(String[] args) throws Exception {
       String name="xxx";
       String password="xxx' or '1'