ホームページ >バックエンド開発 >PHPチュートリアル >MySQL ステートメント インジェクションのアドバイス
$sql = "select * from ".$site->table( "ad" )." where language_id=".$s[0]." and category='".$s[1]."' およびtype=0 および state=0 order by sort_order desc";
mysql_query($sql);
$s は、URL を通じて渡されるパラメータです。 $s[0] にどのような値を入力すると、インジェクションの脆弱性ですか? それともインジェクションの脆弱性が発生しますか? このステートメントはインジェクションできません。
何でも記入することが可能です
しかし、それによって引き起こされる害は実際には考えられません
以下のステートメントによって制限されているようで、私は記入しませんデータベースインジェクションについてはあまり知りません。
専門家が欠陥があることを知っていて、ガイダンスを提供したい場合は、
$s[0] = $s[0]." -- ";//コメントを追加して詳細情報を収集します
$s[0] = $s[0]." and 0<>(select count( *) from admin)";
admin テーブルなどがあればわかります
$s [0] = $s[0]." and 0<>(select count(*) from admin)";
管理テーブルがあるかどうかだけがわかります。実際、テーブルの構造はわかります。 、これには問題があるといつも思っていますが、それほど有害ではないようです