通过LIKE运算符进行MySQL注入 [英] MySQL Injection by LIKE operator
本文介绍了通过LIKE运算符进行MySQL注入的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我在我的一个php文件中下面的代码从数据库中获取数据:
I've below code in one of my php files to fetch data from DB:
$products = $this->db->get_rows('SELECT * from products WHERE shop_id='.$_SESSION['shop_id'].'AND tags,title,text LIKE \'%'.$_POST['search'].'%\'');
有问题吗?我的意思是可以注入LIKE运算符?
Is it problematic? I mean LIKE operator can be injected?
已编辑
Edited
请提供以这种方式进行注射的示例
please provide examples of injecting in this way
推荐答案
任何运算符都可以注入而无需绑定.
Any operator can be injected without binding.
$_POST['search'] = "1%'; DROP TABLE myTable LIKE '%";
会做
.... AND tags,title,text LIKE '%1%'; DROP TABLE myTable LIKE '%%'
阅读如何绑定参数.
这篇关于通过LIKE运算符进行MySQL注入的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文