gpt4 book ai didi

php - 允许在 LIKE 中使用反斜杠进行 SQL 注入(inject)

转载 作者:行者123 更新时间:2023-11-29 06:42:33 24 4
gpt4 key购买 nike

目前,我正在测试一些代码,我注意到了这一点:

$data = str_replace( array('"', "'") , "", $_GET['input']);
$query = "SELECT * FROM tab WHERE LOWER(title) LIKE '%$data%'";

现在,我没有兴趣询问如何使这段代码安全。我很想知道如何使用反斜杠 (\\) 或其他任何东西在现实世界中引起 SQL 注入(inject)。有什么想法吗?

最佳答案

虽然可能有一些 unicode 技巧可以在 $data 中插入一个 ' 在 php 术语中它不是 ',但被你的数据库解释为 '(我知道这听起来很挑剔)我首先注意到的是这个例如,我无法搜索“it's”或“I'm”之类的短语。

关于php - 允许在 LIKE 中使用反斜杠进行 SQL 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20566322/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com