我有一個由2個字段(標題和註釋)組成的註釋表單。數據庫包含3列ID,標題和評論。評論是基於它的title
像domain.com/index.php?id=sometitle註釋字段中的sql注入
標題字段被正確地固定使用mysql_real_escape_string SQL注入,但註釋字段是一個textarea處於打開狀態沒有逃脫顯示。我可以逃避它,但是我想知道它可以做些什麼,只要不在該字段上使用mysql_real_escape_string就可以了,因爲知道標題已經被轉義並且它是如何獲取輸出的。
「我想知道它可以做些什麼,只是不使用該字段上的mysql_real_escape_string就可以做到這一點」 - 您對您的數據有多重要? –
MySql中沒有參數化查詢嗎? –
@mitch。這不是問題。我問,所以我知道這是如何工作的。 – Pinkie