有些老兄向我挑戰,讓他注入他的代碼。他說標題中的PHP函數應該足夠用於這種情況。繞過mysql_real_escape_string的保護
$var = 'my malevolent input will be in here';
$var = mysql_real_escape_string($var);
$sql = "SELECT * FROM `users` WHERE `id` = '$var'";
mysql_query($sql);
我似乎無法繞過單引號轉義。我應該使用什麼作爲$ var的值? 可以我用什麼東西?
感謝一如既往
可疑的挑戰是安全的。他不是還挑戰你進入諾克斯堡嗎? – 2010-11-07 18:51:58
@Col鄰居挑戰我在他放假前闖入他的公寓。任何工具或想法? :) – 2010-11-07 18:53:38
可能的重複:http://stackoverflow.com/questions/1220182/does-mysql-real-escape-string-fully-protect-against-sql-injection – stillstanding 2010-11-07 18:54:17