mysql_real_escape_string()関数を使っていてもSQLインジェクションは可能でしょうか。
例えば、PHP内でこのように構成されているとします
`
$name = mysql_real_escape_string($_POST['name']);
$pw = mysql_real_escape_string($_POST('paw'));
$sql = "SELECT * FROM table WHERE name='$name' AND pw='$pw'";
`
上記のコードは危険で、
mysql_real_escape_string()関数を使ってハックすることができるとう意見を聞きます。
しかし具体的にどのように攻撃出来るのかがわかりません。
例えば、以下のようなインジェクションは使えません。
aaa' OR 1=1 --
上記のPHPコードを通るようなインジェクションを教えて頂けますか。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。