это часть прослушивание безопасности, поэтому нет возможности «изменить» запрос.Выберите таблицы после инструкции FROM?
В общем, что я нашел изъян, который позволяет манипулировать заявление, так что в основном он идет, как:
$query = "DELETE FROM `products` WHERE `products`.`whatever` = $variable";
Это PHP, так что, насколько я знаю, нет никакого способа, чтобы выполнить несколько запросов. Используя эту SQL-инъекцию, я смог «очистить» эту таблицу, выполнив «0 OR 1 = 1 #».
Это работает нормально, но это не позволяет мне выбирать больше таблиц для удаления.
Это, в псевдокоде, что я хочу сделать:
DELETE FROM `products` WHERE `products`.`whatever` = **0 OR 1=1, FROM `othertable` WHERE `othertable`.`othercolumn` = 0 OR 1=1**
Является ли это правдоподобным, так или иначе?
Если это ненадежное устройство, есть ли способ передвижения?
Вы спрашиваете, как SQL-инъекция или как ее предотвратить? – Corey
Как построить запрос SQL-Injection – 2009-09-03 00:36:46