0
我想了解为什么不能以表单POST参数注入sql语句。我用sqlmap尝试过,手动没有成功。post参数不可注射
有一个定义的函数:
function mysql_get_result($sQuery, $hSocket) //$sQuery: mysql query,
$hSocket:MySQLSocket(mysql_connect).
{
$sResource = mysql_query($sQuery, $hSocket);
list($sValue) = mysql_fetch_row($sResource);
return $sValue;
}
,并没有为POST参数的实际查询:
(mysql_get_result("SELECT place FROM towns
WHERE place = '".$sR_place."' AND num = '".$iR_num."'", $hMySQLSocket)
== $sR_place and $sR_place != '')
无输入sanitiazion可言。那为什么它不工作? SQL注入只有当它的mysql_query函数没有更多的步骤时才能工作?