在PHP中:
对于select pass from user where username = {$username}的查询语句
当$username=7<0x1时,这一个比较的运算,运算结果为true\
接下来是在MySQL中:
这里先拼接一下SQL语句
select pass from user where username = 7<1
在这个语句中,SQL会先进行语法检测,检测表中是否有字段username再进行查询,由于这里有一个比较运算符,所以查询语句再执行从查询前会先进行比较运算,错误就出现在比较运算中,这里比较运算错误的将username=7看做了一个字符串 ,1看作了另一个字符串,而在SQL中,比较运算符为弱比较,相当于PHP中的==运算符,他会先将两个字符串进行同类型转换,结果这里就将username = 7转换为了数字,但是由于第一个字符不是数字而是字符u,因此这里就将username=7转换为0而0是小于1的,所以运算顺序何以理解为:
username = 7<1
转换username=7这个字符串:
0<1
比较运算符运算:
true
最终的查询语句变为:
select pass from user where true
综上所述,我们就可以将这个查询语句理解为:
select pass from user where true
同时我们可以认为:
select pass from user where username = 7<1
与
select pass from user where 'username = 7'<1
是等价的
select pass from user where 'username = 7'>'1'
也是等价的
以下时MySQL的测试语句
select username=7<1;#1即为true
select 'username=7'<1;#1即为true
select 'username=7'>'1';#1即为true
select '2a'<'1';#0即为false,两字符串的比较逻辑是该字符的ASCII码乘
#上该字符所在位置的下标,比方说2a的字符串'大小'是char(2)*1+char(a)*2
#'1'则是同理char(1)*1
以上仅为个人见解,如有错误还请指出更正