<code> <form action="" method="post">
<input type='text' name='text'>
<input type='submit' value='tj'>
</form>
</body>
</html>
<?php
if($_POST){
$text = $_POST['text'];
$sql="INSERT INTO aa (cate) VALUES ('" . $text . "')";
mysql_query($sql);
}
?>
</code>我验证了代码没有问题,也打印出了sql语句
INSERT INTO aa (cate) VALUES ('value'); DROP TABLE aa;--')
也确认了php.ini 的magic_quotes_gpc = Off
但是表aa还是完好的在库里。为什么?
<code> <form action="" method="post">
<input type='text' name='text'>
<input type='submit' value='tj'>
</form>
</body>
</html>
<?php
if($_POST){
$text = $_POST['text'];
$sql="INSERT INTO aa (cate) VALUES ('" . $text . "')";
mysql_query($sql);
}
?>
</code>我验证了代码没有问题,也打印出了sql语句
INSERT INTO aa (cate) VALUES ('value'); DROP TABLE aa;--')
也确认了php.ini 的magic_quotes_gpc = Off
但是表aa还是完好的在库里。为什么?
mysql_query()应该是不可以执行带;的语句吧。
你可以试试用or 1这样的注入。
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
165
收藏
