我正在尝试通过 PHP 使用 SQL 注入在数据库中删除一个表。
PHP 代码使用以下命令和 multi_query($sql) 向数据库提交表单:
$sql = "INSERT INTO Student (StdNumber, FName, LName, DOB, PhoneNumber)
VALUES ('$input1', '$input2', '$input3', '$input4', '$input5')";
所以我想,我可以 SQL Inject input5。所以我使用:
');"; $sql .= "DROP TABLE IF EXISTS Student;";-- -
这将关闭前面的 sql 语句,然后我用 'sql .=' 开始另一个语句,然后我用 -- -- 注释掉它的其余部分
然而,桌子并没有下降。我没有在数据库的 input5 (PhoneNumber) 中看到我的注入命令,所以它成功地关闭了我相信的前一个语句。
所以我不确定出了什么问题,我是否错误地使用了 multi_query?还是我的注射不正确?
谢谢
编辑 1:此外,当我提交表单时,它接受它并再次进入数据库。