如何解决尽管有PHP魔术引号,但SQL注入成功
技巧通常是传递一个二进制值,以使反斜杠成为有效的多字节字符的一部分。这是关于它的博客文章。
解决方法
我一直读到魔术引号根本不能停止SQL注入,但是我不明白为什么不这样做!例如,假设我们有以下查询:
SELECT * FROM tablename
WHERE email='$x';
现在,如果用户输入make $x=' OR 1=1 --,则查询将是:
SELECT * FROM tablename
WHERE email='\' OR 1=1 --';
反斜杠将由Magic Quotes添加,而不会造成任何损害!
有没有办法我看不到用户可以在此处绕过Magic Quote插入的地方?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
