有人可以更改网站从MySql数据库收到的信息

时间:2016-11-08 19:19:57

标签: php mysql

我想说我有以下代码:

   $fetchlast1 = mysql_query("SELECT * FROM tableOne WHERE name='billy'");
   while ($row = mysql_fetch_array($fetchlast1)) {
                    $id = $row[1];
                    if($id == '23'){
                     //give admin privileges.
                    } 
   }

所以我们可以说$ id的值是'45'而不是'23'。技术人员或任何人都可以以某种方式将收到的值更改为“23”,从而获得管理员权限吗?

1 个答案:

答案 0 :(得分:-1)

答案是。如果你的值在代码中被硬编码,则没有SQL注入的可能性。这取决于您在查询中包含'billy'的方式(阅读更多mysqli prepared statements)。当您使用此查询时,您的后勤操作也没有任何意义。

强烈建议您使用 mysqli (MySQL改进语法)在PHP中开始编程。

相关问题
最新问题