尽管有PHP魔术引号,但SQL注入成功
我一直读到魔术引号根本不能停止SQL注入,但是我不明白为什么不这样做!例如,假设我们有以下查询:
SELECT * FROM tablename WHERE email='$x';
现在,如果用户输入make $x=' OR 1=1 --
,则查询将是:
SELECT * FROM tablename WHERE email='\' OR 1=1 --';
反斜杠将由Magic Quotes添加,而不会造成任何损害!
有没有办法我看不到用户可以在此处绕过Magic Quote插入的地方?
回答:
技巧通常是传递一个二进制值,以使反斜杠成为有效的多字节字符的一部分。这是关于它的博客文章。
以上是 尽管有PHP魔术引号,但SQL注入成功 的全部内容, 来源链接: utcz.com/qa/410804.html