MySQL注入出错了_Mysql_Zend Framework_Sql Injection

MySQL注入出错了

mysql zend-framework

MySQL注入出错了,mysql,zend-framework,sql-injection,Mysql,Zend Framework,Sql Injection,我正在测试一个朋友的网站的安全性，通过将“放在URL的末尾，我发现了SQL注入漏洞该站点是在zend框架中构建的我遇到的问题是MySQL--中的注释语法不起作用，因此页面仍然抛出错误 Exception: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL ser

我正在测试一个朋友的网站的安全性，通过将

“

放在URL的末尾，我发现了SQL注入漏洞该站点是在zend框架中构建的我遇到的问题是MySQL

--

中的注释语法不起作用，因此页面仍然抛出错误

Exception: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1--) ORDER BY companies.company_name ASC' at line 8
in /home/xxxxxxx/xxxxxxxxxx/lib/Zend/Db/Adapter/Abstract.php on line 157

如果查找错误，则查询不会在

--

即使是

和

-->-

在URL末尾加上“并且网站抛出错误”也不起作用

，但这并不意味着它容易受到SQLi的攻击。

可能是结束SQL命令需要分号。如果您这样做：

“按1排序--您注入的实际代码是什么？但我的问题是为什么查询没有终止（因为它构建得很糟糕？如果看不到生成问题查询的代码，我们只能猜测。