我知道当我使用此代码时我不安全,所以我可以在我的代码中添加任何内容吗?
我已经尝试过我的自我 sql 注入,它们在某个地方工作,但并不多,因为我对 sql 注入了解不多。但由于黑客更聪明,所以他们可以真正破解我的网站。
网址看起来像这样:
http://example.com/profile.php?userID=1
php
$userID = $_GET['userID'];
$userID = mysql_real_escape_string($userID);
$CheckQuery = mysql_query("SELECT * FROM tbl_user WHERE id='$userID'");
$CheckNumber = mysql_num_rows($CheckQuery);
if ($CheckNumber !== 1)
{
header("Location: tos.php");
}
我试过了:
http://example.com/profile.php?userID=1'
这隐藏了现场的许多东西。
当我尝试
http://example.com/profile.php?userID=1' UNION SELECT * FROM tbl_user; with havij it was hacked
谢谢:|