我有一个包含以下代码的 PHP 脚本:
$sid = $_COOKIE['sid'];
$q = mysql_query("SELECT * FROM `order` WHERE `sid` = '$sid' AND `use` <> 1");
在名为 users
的 MySQL 表中,我有以下列:id
, name
, md5password
.
我该怎么办:
UPDATE `users` SET `md5password` ='newpassword'`
PHP 中是否存在潜在的 SQL 注入(inject)?你可以给我一个例子吗?
最佳答案
你不能。原因是 mysql_query()
不支持多个查询,因此即使存在此 SQL 注入(inject)漏洞,您也无法执行 UPDATE
查询。
使用此 SQLi 最多可以从数据库中提取或读取数据,但无法更新或删除它。
关于PHP MySQL 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19377348/