Mysql
 sql >> Database >  >> RDS >> Mysql

DROP TABLE di SQL injection non funziona

L'esecuzione SQL MULTIPLA non è abilitata per impostazione predefinita.

Quindi SQL injection come ;drop table non funzionerà. per favore abilita l'esecuzione multipla di sql. questo potrebbe essere abilitato come http://php.net/manual/ it/mysqli.quickstart.multiple-statement.php se stai usando mysqli.

utile SQL injection è :

SELECT COUNT(*) FROM users
WHERE user_id = '$user_id' AND passwd = '$passwd'

e l'utente inserisce passwd a ' || '1' = '1 .