Успешное внедрение SQL несмотря на волшебные кавычки PHP
Я всегда читал то Волшебство, Кавычки не останавливают Внедрения SQL вообще, но я не могу понять почему нет! Как пример, скажем, у нас есть следующий запрос:
SELECT * FROM tablename
WHERE email='$x';
Теперь, если ввод данных пользователем делает $x=' OR 1=1 --, запрос был бы:
SELECT * FROM tablename
WHERE email='\' OR 1=1 --';
Обратная косая черта будет добавлена Волшебными Кавычками без ущерба, нанесенного безотносительно!
Существует ли способ, которым я не вижу, где пользователь может обойти Волшебные вставки Кавычки здесь?
13
задан Kshitij Saxena -KJ- 29 April 2010 в 08:21
поделиться
1 ответ
Обычно уловка состоит в том, чтобы передать двоичное значение, чтобы обратная косая черта стала частью допустимого многобайтового символа. Вот сообщение в блоге об этом.
22
ответ дан 1 December 2019 в 22:22
поделиться
Другие вопросы по тегам: