如何在这个查询上使用sql注入

j1dl9f46 于 2021-06-20 发布在 Mysql

关注(0)|答案(1)|浏览(351)

所以我用php进行了这个查询

SELECT a.sifra,a.slika,a.slika2,a.imeProizvoda,a.opis,b.cijena,b.cijena2
FROM proizvodi a
inner join stanje b
on a.sifra = b.sifra
WHERE a.imeProizvoda LIKE '%$search%'

我试着用 DROP TABLE proizvodi 我在网上找到了各种各样的方法，但都没能成功
有人会如何在搜索中查询我的数据库 proizvodi 已删除

sql mysql php

来源：https://stackoverflow.com/questions/52812202/how-would-someone-use-sql-injection-on-this-query

1条答案

按热度按时间

a7qyws3x1#

为了避免php中的sql注入，您应该绝对使用prepared语句，这使得几乎不可能进行任何sql注入。要回答您的问题，我们可以尝试以下方法：

$search = "'; DROP TABLE proizvodi; SELECT * FROM dual WHERE '1' LIKE '";

这将导致执行以下操作：

SELECT a.sifra, a.slika, a.slika2, a.imeProizvoda, a.opis, b.cijena, b.cijena2
FROM proizvodi a
INNER JOIN stanje b
    ON a.sifra = b.sifra
WHERE a.imeProizvoda LIKE '%';
DROP TABLE proizvodi;
SELECT * FROM dual WHERE '1' LIKE '%'

其基本思想是终止原来的有效语句，然后注入其他（恶意）语句，从而使php/mysql陷入困境。请注意 DROP 以及 DELETE 并不是唯一可能发生的破坏性事件。例如，做一个 SELECT * 在一张包含信用卡号码的客户表上，这可能是最具破坏性的事情。
免责声明：我不住在我父母的地下室和花我所有的时间注射网站。但是，我知道的足以猜出你问题的答案。

赞(0）回复(0）举报 2021-06-20

我来回答

如何在这个查询上使用sql注入

1条答案

相关问题

热门标签

最新问答