0

我有一个包含以下代码的 PHP 脚本:

$sid = $_COOKIE['sid'];
$q = mysql_query("SELECT * FROM `order` WHERE `sid` = '$sid' AND `use` <> 1");

在具有 name 的 MySQL 表中users,我有以下列:id, name, md5password.

我能怎么做:

 UPDATE `users` SET `md5password` ='newpassword'`

在 PHP 中有潜在的 SQL 注入?能给我举个例子?

4

1 回答 1

2

你不能。原因是mysql_query()不支持多个查询,因此即使存在此 SQL 注入漏洞,您也无法执行UPDATE查询。

你可以用这个 SQLi 做的最好的事情是从数据库中提取或读取数据,你不能更新或删除它。

于 2013-10-15T09:18:53.823 回答