今天在教学生如何防止SQL注入时,我有点尴尬。在专业项目中,我使用准备好的语句/参数化查询作为防止 SQL 注入的一层(尽管我从未专业地使用过 mySQL)。理论上,我认为在使用准备好的语句时,SQL 注入是不可能的。
但后来这奏效了......
$Search = $_GET['s'];
$stmt = $mysqli->prepare("SELECT * FROM products WHERE id = ?");
$stmt->bind_param("i", $Search);
$stmt->execute();
$Results = $stmt->get_result();
如果我传递参数“?s=1 OR 1=1”,那么我可以获得所有产品的完整列表。我仍然无法在最后插入另一个查询,但我很困惑为什么这种类型的基本 SQL 注入在 mysql/php 中是可能的。我假设参数“1 OR 1=1”将被拒绝,因为它不是数字(显然我可以运行该数字检查......)。
谁能解释为什么这有效,以及我对 php/mysql 中准备好的语句的不理解?
我的学校电脑有一个开箱即用的 Zend WAMP 安装顺便说一句。
编辑:这是引起我困惑的字符串值:
$Search = "1 OR 1=1";