不会。删除空格不会阻止 SQL 注入，因为还有许多其他方法可以让解析器处理您的输入。让我们看一个例子。想象一下，您有一个 url，它在查询中不安全地使用了用户提供的输入：

http://example/index.php?id=1 =>SELECT * from page where id = 1

在您的示例中，攻击者将使用空格：

http://example/index.php?id=1%20or%201=1 => SELECT * from page where id = 1 or 1=1。

删除空格会将注入折叠成字符串。

现在让我们假设攻击者使用了另一种形式的空白，即制表符：

http://example/index.php?id=1%09or%091=1 => SELECT * from page where id = 1 or 1=1。

去除空间仍然允许注射通过。

根据使用的技术，攻击者可以用/**/ %00 %09 %0a %0d或任意数量的 unicode 替换空格，从而导致 SQL 解析器进行标记化。虽然引用的示例不仅删除了空格，但上述示例利用 SQL 注释来导致不是空格的标记化。你仍然会很脆弱。

防止 SQL 注入的唯一可靠方法是使用参数化查询。

我们在 2016 年！除非您使用不安全的代码，否则 SQL 注入已成为过去。

无论您使用哪种语言，如果您想防止任何和所有SQL 注入，请使用准备好的语句或任何其他类型的数据绑定。

Prepared statements将查询与数据分开，使数据无法影响查询。

要直接回答您的问题，删除空格会减少 SQL 注入（使用过时的代码和库时），但肯定会限制您的输入文本（任何地方都没有空格）。

它会限制问题，但不会消除它。考虑以下情况：

$un = str_replace(" ", "", $_POST["username"]);
$pw = hash($_POST["password"];
$sql = "SELECT * FROM users WHERE username = '$un' AND password = '$pw'";

假设我发布了用户名admin'--。那将使我以管理员身份登录，而无需使用单个空格。

正如wireghoul指出的那样，您还需要删除其他空白字符，例如制表符。但正如Julie Pelletier指出的那样，只需使用准备好的语句。试图想出聪明的方案来阻止 SQLi 没有它可能是一个有趣的游戏，但它永远不会给你准备好的语句所提供的安全性。其他一切都只是分散注意力。

没有。假设你有这个作为你的 SQL：

"select * from people where last_name = '" + surname + "'"

如果我'OR(1=1)OR'a'='在输入中输入：它会变成：

select * from people where last_name = ''OR(1=1)OR'a'=''

它至少在 Oracle 和 MySQL 中执行并返回表中的所有行。