这个SQL技巧或注入意味着什么?

时间:2015-07-30 11:48:47

标签: php sql sql-injection

我创建了这个,因为有些用户试图把它放在我的sql

但使用mysql_real_escape_string 它实际上保存了我的网站..

我只是想问一下这段代码到底做了什么.. 非常感谢;)

    (select(@) from (select (@:=0x00),(select (@) from (TABLE) where (@) in (@:=concat(@,0x0a,col1,0x3a,col2,0x3a,col3))))a)

1 个答案:

答案 0 :(得分:0)

在隔离的测试环境中,针对干净的数据库执行它并查看它的作用。它还有助于查看normal sql语句的外观,以便将其与恶意版本进行比较。作为旁注,请使用预准备语句来防止SQL注入情况。

始终约束输入。验证应用程序的所有输入的类型,长度,格式和范围。