我有一个由2个字段(标题和注释)组成的注释表单。数据库包含3列ID,标题和评论。评论是基于它的title
像domain.com/index.php?id=sometitle注释字段中的sql注入
标题字段被正确地固定使用mysql_real_escape_string SQL注入,但注释字段是一个textarea处于打开状态没有逃脱显示。我可以逃避它,但是我想知道它可以做些什么,只要不在该字段上使用mysql_real_escape_string就可以了,因为知道标题已经被转义并且它是如何获取输出的。
“我想知道它可以做些什么,只是不使用该字段上的mysql_real_escape_string就可以做到这一点” - 您对您的数据有多重要? –
MySql中没有参数化查询吗? –
@mitch。这不是问题。我问,所以我知道这是如何工作的。 – Pinkie