반응형
DB에서 데이터를 가져 오기 위해 내 PHP 파일 중 하나에 코드가 있습니다.
$products = $this->db->get_rows('SELECT * from products WHERE shop_id='.$_SESSION['shop_id'].'AND tags,title,text LIKE \'%'.$_POST['search'].'%\'');
문제가 있습니까? LIKE 연산자를 주입 할 수 있다는 뜻입니까?
수정 됨
이런 식으로 주사의 예를 제공하십시오
해결 방법
모든 연산자는 바인딩없이 삽입 될 수 있습니다.
$_POST['search'] = "1%'; DROP TABLE myTable LIKE '%";
만들 것이다
.... AND tags,title,text LIKE '%1%'; DROP TABLE myTable LIKE '%%'
참조 페이지 https://stackoverflow.com/questions/15579898
반응형
'MySql' 카테고리의 다른 글
| MySQL 두 개의 MySQL 테이블을 동기화하는 방법은 무엇입니까? (0) | 2021.01.08 |
|---|---|
| MySQL 이전 mysql 버전에 대한 mysqldump (0) | 2021.01.08 |
| MySQL $ result = mysql_query () (0) | 2021.01.08 |
| MySQL LEFT JOIN only first row (0) | 2021.01.08 |
| MySQL 여러 열에 의한 SQL ORDER (0) | 2021.01.08 |
댓글