meine Website hat PHP-Befehl:Warum funktioniert meine Abfrage nicht?
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'UPDATE users SET password=abc WHERE id=1' at line 1
Aber in phpmyamin Abfrage erfolgreich ausgeführt:
mysql_query("SELECT * FROM users WHERE id=" . $_GET["id"]) or die(mysql_error());
Wenn ich URL
http://example.com/index.php?id=1;%20UPDATE%20users%20SET%20password=123%20WHERE%20id=1
bekomme ich folgende Fehlermeldung eingeben. Was ist hier falsch? Warum wird es nicht im Browser ausgeführt?
Uhm, versuchen Sie SQL Ihre eigene Abfrage zu injizieren? Das ist wahnsinnig unsicher. – Yahel
@yc: Wahrscheinlich nur als Experiment oder für Kicks – BoltClock
Ich schrieb diese Website mit zwei weiteren Entwicklern, und einer von ihnen machte diesen Fehler. Ich möchte ihm einen Brief mit einem Injektionsbeispiel schreiben, das Angreifer fälschen kann und will, dass dieses Beispiel mehr als nur '1 UND 1 = 0 UNION SELECT ...' ist. Er ist ein Neuling und es wird gut sein, ihm zu zeigen, wie ernst dieser Fehler ist. – Poma