mysql - 这个sql注入该怎么解释呢?

 手机用户2502871065 发布于 2022-11-04 06:16
  • http
  • overflow
  • io
  • sql
  • php
  • 注入

    • http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php

    这是个防止sql注入的一个问题。这个问题有点看不懂,

    $unsafe_variable = $_POST['user_input']; 

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

    这个是怎么做到sql注入的,一条查询语句可以执行insert to 语句和drop table 语句??

    2 个回答

    • mysql_query不能执行多条语句,不过可以updatexml和extracevalue利用他来获取其他数据信息。

      INSERT INTO users (id, username, password) VALUES (2,'Olivia' or updatexml(1,concat(0x7e,(version())),0) or'', 'Nervo');

INSERT INTO users (id, username, password) VALUES (2,'Olivia' or extractvalue(1,concat(0x7e,database())) or'', 'Nervo');

      参考: 利用insert,update和delete注入获取数据

      2022-11-06 19:59 回答

    • 传入的参数是value'); DROP TABLE table;--,这么说能懂吗?

      2022-11-06 20:16 回答
    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有