如果没有双引号和单引号，SQL注入可以吗？

Question

让我们假设我们正在构建这样的SQL查询：

SELECT * FROM users WHERE username = 'Username' AND password='password'

如果我们阻止了字符"和'，攻击者就能完全黑进去吗？

下面是regex语句/[\"\']/，如果有匹配，它将阻止请求。我还试图避免使用MySQLi准备。

Answer 1

是。

从数据库获取数据还有其他方法，或者只是做一些恶意的事情。这样做的一种方法是从数据库中选择所有记录，使用SELECT * FROM TABLE users或SELECT * FROM TABLE users WHERE True，然后过滤返回的数据以找到攻击者想要的用户。

此外，像DROP TABLE users这样的语句在双引号系统下不会被捕获，并且会产生相当严重的影响。