php如何进行SQL注入?已知网站直接把变量加入的查询语句中。
黄传通 2008-12-21 03:31:51 已知网站源码有以下漏动,就是直接把用户输入的变量 $user 加入到查询中,如下
$userarray = $db->get_one("SELECT × FROM members WHERE username='$user'");
应该如何写SQL注入的语句?
我遇到的问题的是:
如果我定义了一个变量,里面有"的话,php竟然自动给我转化为\"
<?php
$a="hahhah";
echo $a;
?>
返回的结果是\"hahhah\"
所以当我填写语句 : ' intser into ... 这里的单引号', 加了\,注入语句就成了字符串。
问:输入框中的SQL语句应该如何写?
条件:数据库表、字段全已知,输入框长度不限。