尽管有PHP魔术引号,但SQL注入成功

  • Z时代
  • 2024-01-10
  • 分类:问答

我一直读到魔术引号根本不能停止SQL注入,但是我不明白为什么不这样做!例如,假设我们有以下查询:

SELECT * FROM tablename
  WHERE email='$x';

现在,如果用户输入make $x=' OR 1=1 --,则查询将是:

SELECT * FROM tablename
  WHERE email='\' OR 1=1 --';

反斜杠将由Magic Quotes添加,而不会造成任何损害!

有没有办法我看不到用户可以在此处绕过Magic Quote插入的地方?

回答:

技巧通常是传递一个二进制值,以使反斜杠成为有效的多字节字符的一部分。这是关于它的博客文章。

以上是 尽管有PHP魔术引号,但SQL注入成功 的全部内容, 来源链接: utcz.com/qa/410804.html

回到顶部