你说的只是php代码中可能会允许你使用注入语句,但是一般来说,网站防注入都是在链接数据库的类中加入了转换,也就是说把注入语句的关键字都加上了转义字符。比如你遇到的这种情况,就是被防注入了。
关于你这个问题:
问:输入框中的SQL语句应该如何写?
条件:数据库表、字段全已知,输入框长度不限。
我只能跟你说,你可以在输入框中加入;,/这种符号,让语句解析的时候出现问题,让php把sql语句拼合成两个或两个以上。这样你就可以在第二条语句之后加入你想要执行的命令了。
如果这种方法没有效果,你只能使用溢出的方式来注入!
如果你这么写是不会被解析成你想要的值的,所以你应该写成
"select * from user where ll_user='.$id.' "。
sql中处理的数据一般都是php处理完的数据,可以直接写在sql中做变量传递,但客户端传递来的php变量一定要严格过滤才能写在sql中。
正确形式应该是: " SELECT * FROM user WHERE ll_user=‘$id’ ";
"SELECT * FROM user WHERE ll_user=‘$id’“
直接变量替换dove 就行啊
"SELECT * FROM user WHERE ll_user=".$id;
使用点连接符
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024