mysql - 仅仅只是把单引号与反斜杠转义不用prepare statement能否避免sql注入？

问题描述

比如我输入登录名login_name 为 ’ 就拼出这种sql：

SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’’)

输入登录名login_name 为 ’ or 1 = 1 就拼出这种sql：

SELECT * FROM account WHERE (1) AND (`account`.login_name = ’’ or 1 = 1’)

这样能否避免sql注入？

问题解答

不行吧，假设login_name为’ or 1 = 1，转义后的结果是什么？