gpt4 book ai didi

php - 删除查询时的sql注入(inject)

转载 作者:行者123 更新时间:2023-11-29 08:38:21 26 4
gpt4 key购买 nike

我有这个查询:

DELETE FROM users WHERE user_email = '$email'

如何受到SQL注入(inject)攻击导致所有记录被删除? addslashes()函数应用于$email在将其发送到查询之前。

最佳答案

如果数据库中设置了错误的编码(这不适用于UTF-8),您可以按如下方式绕过addslashes:

$email = urldecode('%BF%27 OR 1 -- '); // user input

$email = addslashes($email);
$sql = "DELETE FROM users WHERE user_email = '$email'";

因为 \ 前缀于 %27 (')、%BF 和黑斜杠导致有效的多字节字符

Here is an blog article explaining this

关于php - 删除查询时的sql注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14561666/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com