这个代码有问题吗?
<?php
if (isset($_GET['Submit'])) {
// Retrieve data
$id = $_GET['id'];
$id = mysql_real_escape_string($id);
$getid = "SELECT first_name, last_name FROM users WHERE user_id = $id";
$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );
$num = mysql_numrows($result);
$i=0;
while ($i < $num) {
$first = mysql_result($result,$i,"first_name");
$last = mysql_result($result,$i,"last_name");
echo '<pre>';
echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last;
echo '</pre>';
$i++;
}
}
?>
尽管它使用了mysql_real_escape_string,但是攻击者仍然可以在没有引号的情况下注入代码。
这是DVWA易受攻击的网络应用程序的一部分。
函数mysql_real_escape_string()是否阻止引号但对我而言似乎根本不允许引号...
我说错了吗?
答案 0 :(得分:1)
mysql_real_escape_string()应该降低SQL注入攻击的可能性,但强烈建议您使用未被弃用的MySQL数据库API,例如MySQLi (MySQL Improved)和PDO,它们具有更强的安全性到位。
我还认为您正在调用一个不存在的函数,您可以在其中分配$num变量mysql_num_rows()而不是mysql_numrows。
答案 1 :(得分:0)
mysql_real_escape_string()将函数参数放入SQL中可用引号的表单中。必须使用它们。它们总是可以使用,即使在处理数值时也是如此。
不使用sql中的引号会阻止转义字符串的安全性。