大家好 前几天做了个网站 考虑到我没有做sql防注入 这几天看了一些案列 用在我自己的网站上 却没反应 现在请教下 我这样写 如何构建sql代码才能被注入呢?
主要语句就是这个
include "../admin/connss.php";
$id=$_GET[id];
$sql=mysql_query("select * from news where id='$id'");
$row = mysql_fetch_array($sql);
?>
其他的都是显示的 没什么用 我感觉我没做过滤 正常这种应该被注入啊 但是我试了一些方法 没什么用 请教下
谢谢
如今有越来越多的人在网上做代驾,打造一个代驾平台,既可以让司机增加一笔额外的收入,也解决了车主酒后不能开发的问题,汉潮代驾系统基于微信小程序开发的代驾系统支持一键下单叫代驾,支持代驾人员保证金功能,支持代客下单,支持代驾人员订单调度及代驾人员位置查看,欢迎大家关注我们。 汉潮代驾系统是汉潮唐越科技有限公司研发团队自主开发的代驾系统,包含后台系统和微信小程序,主要功能模块商家设置,会员管理,营销管理
0
addslashes或者mysql_real_escape_string都可以转义字段 防止注入
addslashes或者mysql_real_escape_string都可以转义字段 防止注入
用PDO连接吧,mysql_real_escape_string在新版本的PHP已经被摒弃了,addslashes根本不可靠。
addslashes或者mysql_real_escape_string都可以转义字段 防止注入
-- 你的程序设计是这个样子的: -- $id=“100”select ....from... where ID = '100' ; -- SQL注入的结果是下面的样子:-- $id = "100' or '1' ='1"select .... from .... where ID ='100' or '1' ='1'
-- 你的程序设计是这个样子的: -- $id=“100”select ....from... where ID = '100' ; -- SQL注入的结果是下面的样子:-- $id = "100' or '1' ='1"select .... from .... where ID ='100' or '1' ='1'
-- 你的程序设计是这个样子的: -- $id=“100”select ....from... where ID = '100' ; -- SQL注入的结果是下面的样子:-- $id = "100' or '1' ='1"select .... from .... where ID ='100' or '1' ='1'
include "../admin/connss.php";
$id=INTVAL($_GET[id]);
$sql=mysql_query("select * from news where id='$id'");
$row = mysql_fetch_array($sql);
?>
在后面加一个0
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
336
