AND (SELECT 2693 FROM(SELECT COUNT(*),:vxd:,(SELECT MID((IFNULL(CAST(count(*) AS CHAR),'')),1,50) FROM vip_card WHERE sn like '20%' and active=1),:hez:,0)x FROM information_schema.tables GROUP BY x)a)
php - Problème d'injection mysql - Questions et réponses sur le site Web PHP chinois - php - Problème d'injection mysql - Questions et réponses sur le site Web PHP chinois
php - Problème d'injection mysql - Questions et réponses sur le site Web PHP chinois - php - Problème d'injection mysql - Questions et réponses sur le site Web PHP chinois
Jetez un œil autour de vous et apprenez.
此处原本代码应该当是and(后跟的变量未被过滤,从代码来看,此处应当期望输入的是一个数字,所以此处应当intval输入的参数。
例如
$sql = "SELECT xxx from table where cid = '1' and (".intval($_GET['ids'].")";
我之所以认为这边期望输入的是一个数字,是因为and后面的(内没有单引号,不是and(',如果期望引用的不是数字而是字符串的话,在正常业务中就会出错。
我建议,引用输入的时候,都必须用单引号包裹,可以考虑楼上说的pdo这类占位符机制引入变量
您可以看看pdo中的prepare。:)
mysql 和 php 都提供了放注入的机制。不过,推荐使用 PDO。
传入参数要用参数对象来处理。自己直接=号,很容易被注入。
防注入~~我选PDO。。。
PDO.... 同意楼上的
PDO修炼中
稍大一点的公司都会封装一些函数来防注入的....