我创建了这个,因为有些用户试图把它放在我的sql
中但使用mysql_real_escape_string 它实际上保存了我的网站..
我只是想问一下这段代码到底做了什么.. 非常感谢;)
(select(@) from (select (@:=0x00),(select (@) from (TABLE) where (@) in (@:=concat(@,0x0a,col1,0x3a,col2,0x3a,col3))))a)
答案 0 :(得分:0)
在隔离的测试环境中,针对干净的数据库执行它并查看它的作用。它还有助于查看normal sql语句的外观,以便将其与恶意版本进行比较。作为旁注,请使用预准备语句来防止SQL注入情况。
始终约束输入。验证应用程序的所有输入的类型,长度,格式和范围。