고객의 쿼리를 테스트하고 흥미로운 질문을 발견했습니다. 나쁜 의도는 해커의 SQL은 다음과 같은 쿼리를 삽입 할 수 :SQL 삽입 및 여러 줄 주석
field1 like '%$searchterm%'
: 예를 들어
SELECT * FROM mytable WHERE 1
AND cfield='0'
AND (
field1 like '%$searchterm%' OR
field2 like '%$searchterm%' OR
)
을, 내 마음에, 그는 처음 $의 SEARCHTERM 후 무엇 주석, 그냥 다른 쿼리를 삽입 할 수있는 방법은 없습니다
그래도 나는 틀릴 수도 있습니다. 귀하의 의견을 기다리고 있습니다. 미리 감사드립니다.
$ searchterm이 서버에 연결되어 있습니까? _looks_는 PHP를 좋아합니다. – driis
연결이 전혀 없습니다. 검색 입력에 입력 된 내용이 모두 삽입됩니다. 제자리에 위생 처리가 없습니다. – Kyprulez
그 대답은 "예"입니다. – LittleBobbyTables