sql >> Database teknologi >  >> RDS >> Mysql

MySQL-injektion af LIKE-operatør

Enhver operatør kan injiceres uden binding.

$_POST['search'] = "1%'; DROP TABLE myTable LIKE '%";
 

Ville gøre

.... AND tags,title,text LIKE '%1%'; DROP TABLE myTable LIKE '%%'

Læs mere hvordan man binder parametre .



  1. Sådan løses ORA-06512 på linjenummer

  2. Brug af shell-script til at indsætte data i ekstern MYSQL-database

  3. Hvad er den lagrede procedure og hvorfor den lagrede procedure?

  4. MySQL Performance Benchmarking:MySQL 5.7 vs MySQL 8.0