通过LIKE运算符进行MySQL注入 [英] MySQL Injection by LIKE operator

查看：696 发布时间：2020/5/15 1:15:28 php mysql sql-injection

本文介绍了通过LIKE运算符进行MySQL注入的处理方法，对大家解决问题具有一定的参考价值，需要的朋友们下面随着小编来一起学习吧！

我在我的一个php文件中下面的代码从数据库中获取数据:

I've below code in one of my php files to fetch data from DB:

$products = $this->db->get_rows('SELECT * from products WHERE shop_id='.$_SESSION['shop_id'].'AND tags,title,text LIKE \'%'.$_POST['search'].'%\'');

有问题吗?我的意思是可以注入LIKE运算符?

Is it problematic? I mean LIKE operator can be injected?

已编辑

Edited

请提供以这种方式进行注射的示例

please provide examples of injecting in this way

任何运算符都可以注入而无需绑定.

Any operator can be injected without binding.

$_POST['search'] = "1%'; DROP TABLE myTable LIKE '%";

会做

.... AND tags,title,text LIKE '%1%'; DROP TABLE myTable LIKE '%%'

这篇关于通过LIKE运算符进行MySQL注入的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！

查看全文