在浏览器中查询sql语句是怎样做到的?

来源:2-1 SQL注入-如何理解SQL注入?

zhiminmu

2017-08-19 15:32

在浏览器中查询sql语句怎么做到的?

写回答 关注

1回答

  • 白荼
    2017-08-19 16:42:47

    <?php
    @$id=$_GET['id'];   
    $link=mysqli_connect("localhost","root","",'db');
    $sql="select * from user where id='{$id}'";
    $res=$link->query($sql);
    foreach($res as $val){
       echo $val['username'];
    }
    ?>

    URL:http://localhost:63342/www/QUIZ.php?id=69

    这是一个最简单的例子,即用$_GET方法获取表单传递的值,但是有人恶意在URL中加了一个id代替了表单的值

    现在查询的id就成了URL中的id,如果是要删除一个用户但id被代替了,可能所有数据都就没有了

web安全之SQL注入

SQL注入是整个WEB安全领域中比较重要的一部分

30625 学习 · 10 问题

查看课程

相似问题