Sql post参数不可注入_Sql_Forms_Code Injection

Sql post参数不可注入

sql forms

Sql post参数不可注入,sql,forms,code-injection,Sql,Forms,Code Injection,我想了解为什么不能在表单POST参数中插入sql语句。我用sqlmap手动尝试了一下，但没有成功有一个已定义的函数： function mysql_get_result($sQuery, $hSocket) //$sQuery: mysql query, $hSocket:MySQLSocket(mysql_connect). { $sResource = mysql_query($sQuery, $h

我想了解为什么不能在表单POST参数中插入sql语句。我用sqlmap手动尝试了一下，但没有成功

有一个已定义的函数：

function mysql_get_result($sQuery, $hSocket) //$sQuery: mysql query, 
                                          $hSocket:MySQLSocket(mysql_connect).  
{
 $sResource = mysql_query($sQuery, $hSocket);
 list($sValue) = mysql_fetch_row($sResource);
 return $sValue;
}

还有对POST参数的实际查询：

(mysql_get_result("SELECT place FROM towns
 WHERE place = '".$sR_place."' AND num = '".$iR_num."'", $hMySQLSocket) 
 == $sR_place and $sR_place != '')

完全没有输入卫生信息。那么为什么它不起作用呢？sql注入是否只在其mysql\u查询功能没有更多步骤时才起作用？

您的代码应该容易受到sql注入的攻击，因为您没有使用

mysql\u real\u escape\u字符串进行清理，也没有对查询进行参数化
您应该尝试修改POST参数，因为问题很可能是您的攻击格式不正确