前些天看了一个关于MYSQL注入攻击内容,现在有关问题请大家讨论一下
http://www.77169.com/Article/Class5/Class12/Class20/200409/11798.html
关于这个网址里的攻击方式,本人觉得现在新版本的PHP默认状态就很难实现,因为他假设magic_quotes_gpc均为off,所以基本上来说是安全的。
还有一个原因就是他的假定条件还要知道数据表名称甚至于结构,这样子对于一个陌生的网站我们一般是不太可能知道的,所以受攻击的可能性也不大。
现在本人有一个假设,如果我所做的网站存在一个这样子的注入漏洞,当本一条语句中的WHERE后面部分全部可以自由被设置(输入的引号都合法)的时候,试问有没有可能被攻击者得到所有表名称和甚至于字段名称或者字段数?假定可以,如何实现呢?
我的条件是magic_quotes_gpc为on