标签: php mysql sql-injection owasp htmlspecialchars
我知道这段代码很容易受到攻击,因为PHP函数 htmlspecialchars 不会编码所有特殊字符。但是,我似乎无法利用它。有什么帮助吗?
$query = mysql_query("UPDATE schoolinfo SET schoolname = \"".htmlspecialchars($_POST["schoolname"])."\"");
PS:数据库是MySQL 5.5版,学校名表也可以是地址栏。