[英]SQL Injection on update query
因此,我已设置服务器来处理付款请求。 用户以表格形式输入其信用卡详细信息。
查询此处注入:
$sql = "UPDATE users SET credit_card'".$credit_card."', cvv='".$cvv."', expdate='".$exp."' WHERE userid='".$_SESSION['userid']."'";
我正在尝试从此查询更改另一个用户密码。
$credit_card
从表单发布的位置。 我试图通过编写自己的查询来注入$credit_card
部分,并在最后添加;--
来摆脱其余部分。
我用于$credit_card
的语句是:
', password='test' where userid='10';--
现在,我很确定这是昨天工作的,但是现在出现以下错误,我无法解决这个问题。 有什么帮助吗?
查询失败:UPDATE用户SET credit_card'',password ='test'WHERE userid = '20';-,cvv ='',expdate =''WHERE userid = '20'
并非所有的数据库函数都接受多个语句,因此;
定界符可能被视为意外输入。
MySQL中单行注释的语法为-- Foo
(请注意双破折号后的空白)。
如果服务器代码是您的代码,则可以仅打印服务器生成的实际错误消息(而不是某些通用的“出现问题”文本)。 如果不是,只需将错误消息中的SQL代码复制并粘贴到您喜欢的MySQL客户端中。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.