Home >Backend Development >PHP Tutorial >mysql 语句注入请教
mysql 语句注入请教
- WBOYOriginal
- 2016-06-23 14:02:59776browse
$sql = "select * from ".$site->table( "ad" )." where language_id=".$s[0]." and category='".$s[1]."' and type=0 and state=0 order by sort_order desc";
mysql_query($sql);
$s是通过url传入的参数,我想请教下$s[0]填入什么值会造成注入漏洞还是说这个语句是无法注入的呢?
回复讨论(解决方案)
填什么都有可能
但我实在想不出会造成什么危害
好像是被后面的语句限制了,也不是很懂数据库注入。
如果哪位大牛知道有洞还希望指导下
推荐使用框架吧,自己写的程序难免会有考虑不周的地方,框架就不同了,把一些方法都自动封装好了,例如:防sql注入。
$s[0] = $s[0]." -- ";//加注释采集更多信息
$s[0] = $s[0]." and 0(select count(*) from admin)";
就知道你有没有admin这张表,等等
$s[0] = $s[0]." -- ";//加注释采集更多信息
$s[0] = $s[0]." and 0(select count(*) from admin)";
就知道你有没有admin这张表,等等 其实表的结构我是知道的,只是我老觉得这有问题,但好像危害又不是很大
where language_id="" or ""="" and
Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Previous article:php上传图片的urlNext article:图片下载地址前面加变量