这个 SQL 技巧或注入是啥意思？

Posted 2023-02-19

【中文标题】这个 SQL 技巧或注入是啥意思？

【英文标题】：What does this SQL trick or injection mean?这个 SQL 技巧或注入是什么意思？

【发布时间】：2015-10-21 18:19:30

【问题描述】：

我创建这个是因为一些用户试图把它放在我的 sql 中

但使用 mysql_real_escape_string 它实际上保存了我的网站..

我只是想问一下这段代码到底做了什么.. 非常感谢;)

    (select(@) from (select (@:=0x00),(select (@) from (TABLE) where (@) in (@:=concat(@,0x0a,col1,0x3a,col2,0x3a,col3))))a)

【参考方案1】：

在隔离的测试环境中，针对干净的数据库执行它，看看它做了什么。它还有助于查看normal sql 语句的外观，以便将其与恶意版本进行比较。附带说明一下，使用准备好的语句来防止 sql 注入情况。

始终限制输入。验证应用程序的所有输入的类型、长度、格式和范围。

【讨论】：

好吧..我试图测试它..但它给了我错误，我认为mysql_real_escape_string改变它..所以现在我不知道:(？

我没有看到任何会导致您的数据更改的更新声明。我建议您提供完整的 sql 并将其发布到数据库论坛...同时，请按照我的建议采取预防措施，以保护您的网站免受 sql 注入