הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post - SQLI

Haimz · 17-06-14, 12:30

לדוגמה:

קוד:

SELECT id FROM table WHERE column = ?param?

אז אם אני מחליף את ?praram? ב

קוד:

$value = " ' \\ \x00 \r\n \" ';
$param = " '". $mysqli->real_escape_string($value) ."' ";

הפקודה הזו תעבור בהצלחה במסד, השאלה שלי היא אם אפשר להציב משהו במשתנה $value בכדי לגרום לSQLI ? כי אני בטוח שלא..

אני מודע לשימוש בprepared statements, אז בבקשה לא להזכיר את זה

17-06-14, 12:30	# 1
Haimz חבר וותיק מיני פרופיל תאריך הצטרפות: Sep 2010 הודעות: 1,221	SQLI - אפשרי לעקוף את זה? לדוגמה: קוד: SELECT id FROM table WHERE column = ?param? אז אם אני מחליף את ?praram? ב קוד: $value = " ' \\ \x00 \r\n \" '; $param = " '". $mysqli->real_escape_string($value) ."' "; הפקודה הזו תעבור בהצלחה במסד, השאלה שלי היא אם אפשר להציב משהו במשתנה $value בכדי לגרום לSQLI ? כי אני בטוח שלא.. אני מודע לשימוש בprepared statements, אז בבקשה לא להזכיר את זה