Sql post参数不可注入
我想了解为什么不能在表单POST参数中插入sql语句。我用sqlmap手动尝试了一下,但没有成功 有一个已定义的函数:Sql post参数不可注入,sql,forms,code-injection,Sql,Forms,Code Injection,我想了解为什么不能在表单POST参数中插入sql语句。我用sqlmap手动尝试了一下,但没有成功 有一个已定义的函数: function mysql_get_result($sQuery, $hSocket) //$sQuery: mysql query, $hSocket:MySQLSocket(mysql_connect). { $sResource = mysql_query($sQuery, $h
function mysql_get_result($sQuery, $hSocket) //$sQuery: mysql query,
$hSocket:MySQLSocket(mysql_connect).
{
$sResource = mysql_query($sQuery, $hSocket);
list($sValue) = mysql_fetch_row($sResource);
return $sValue;
}
还有对POST参数的实际查询:
(mysql_get_result("SELECT place FROM towns
WHERE place = '".$sR_place."' AND num = '".$iR_num."'", $hMySQLSocket)
== $sR_place and $sR_place != '')
完全没有输入卫生信息。那么为什么它不起作用呢?sql注入是否只在其mysql\u查询功能没有更多步骤时才起作用?您的代码应该容易受到sql注入的攻击,因为您没有使用
mysql\u real\u escape\u字符串进行清理,也没有对查询进行参数化
您应该尝试修改POST参数,因为问题很可能是您的攻击格式不正确