http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php
这是个防止sql注入的一个问题。这个问题有点看不懂,
极客观点
项目管理
HarmonyOS
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
这个是怎么做到sql注入的,一条查询语句可以执行insert to 语句和drop table 语句??
mysql_query不能执行多条语句,不过可以updatexml和extracevalue利用他来获取其他数据信息。
mysql
INSERT INTO users (id, username, password) VALUES (2,'Olivia' or updatexml(1,concat(0x7e,(version())),0) or'', 'Nervo');
INSERT INTO users (id, username, password) VALUES (2,'Olivia' or extractvalue(1,concat(0x7e,database())) or'', 'Nervo');
5 回答3.2k 阅读✓ 已解决
3 回答3.6k 阅读✓ 已解决
2 回答2.8k 阅读✓ 已解决
5 回答1.4k 阅读
3 回答1.2k 阅读✓ 已解决
2 回答2k 阅读
3 回答2k 阅读
传入的参数是
value'); DROP TABLE table;--,这么说能懂吗?