Tôi đã lướt những ngày này và đã biết về SQL INJECTION ATTACK. tôi đã cố gắng thực hiện trên máy tính địa phương của tôi biết làm thế nào điều này có thể làm như vậy mà tôi có thể ngăn chặn nó trong hệ thống của tôi ...php sql injection
i đã viết mã như thế này Mã
PHP:
if(count($_POST) > 0){
$con = mysql_connect("localhost","root","") or die(mysql_error());
mysql_select_db('acelera',$con) or die(mysql_error()); //
echo $sql = 'SELECT * FROM acl_user WHERE user_email = "'.$_POST['email'].'" AND user_password = "'.$_POST['pass'].'"';
$res_src = mysql_query($sql);
while($row = mysql_fetch_array($res_src)){
echo "<pre>";print_r($row);echo "</pre>";
}
}
HTML mã sản phẩm:
<html>
<head></head>
<body>
EMAIL : <input type="text" name="email" id="email" /><br />
PASWD : <input type="text" name="pass" id="pass" /><br />
<input type="submit" name="btn_submit" value="submit email pass" />
</body>
</html>
bởi mã này nếu tôi cung cấp cho đầu vào như " OR ""="
tiêm sau đó sql nên được thực hiện. nhưng không hoạt động bình thường. trong dữ liệu bài tôi có thêm dấu gạch chéo nếu tôi cung cấp cho đầu vào ở trên trong lĩnh vực mật khẩu.
có thể bất kỳ một chỉ cho tôi cách thực sự SQL INJECTION ATTACK thể được thực hiện? (Mã sẽ đáng hơn)
> trong dữ liệu bài viết tôi có dấu gạch chéo bổ sung. Hãy thử để thiết lập magic_qoutes_qpc để tắt – RiaD