PHP MySQL的注入

我有這個代碼PHP腳本：PHP MySQL的注入

$sid = $_COOKIE['sid']; 
$q = mysql_query("SELECT * FROM `order` WHERE `sid` = '$sid' AND `use` <> 1");

在一個MySQL表名users，我有以下欄目：id，name，md5password。

我該怎麼辦：

UPDATE `users` SET `md5password` ='newpassword'`

在PHP中一個潛在的SQL注入？你可以給我一個例子嗎？

使用PDO ......... – user2092317

@Quentin我不這麼認爲。 OP似乎想要執行注射。 – mavrosxristoforos

@Andrew我們需要更多關於你正在嘗試做什麼的信息。我希望你知道我們不會幫你破解一個網站，對吧？ – mavrosxristoforos

你不能。原因是mysql_query()不支持多個查詢，因此即使存在此SQL注入漏洞，也無法執行UPDATE查詢。

使用此SQLi可以做的最好的工作是從數據庫中提取或讀取數據，但不能更新或刪除數據。

2013-10-15 09:18:53 MrCode

我可以看到提取或閱讀的例子嗎？ –

此外，可以輸入故意格式錯誤的查詢，以嘗試獲取顯示錶結構的錯誤消息。 – halfer

我知道所有表的結構並有源代碼，我需要通過使用PHP代碼中的漏洞從'users'表中獲取或更改md5password列。 –

回答