SQLiに対して脆弱なウェブサイトを作成しました。 しかし、SQLi'--でGETリクエストを実行すると、誤ったクエリ出力が表示されます。誰かがこれで私を助けることができますか?SQLiが間違ったクエリを実行する
これはこれは、SQLクエリを実行する方法である私のSQLI
です。
SQLクエリが異なるように仮定します。これは、SELECT * FROM product WHERE id LIKE '%'でした。productテーブルからすべてのデータを出力する必要があります。
コードは
これが正しいか、あなたが入力与えられ、それを告げた正確に何やっているのスニペット。
GETリクエストの値は'--であり、SQLクエリ文字列の変数$testの代わりに使用されます。しかし、の後に、の後に、SQLクエリ文字列の$test変数を削除しません。
私はあなたを表示するために、いくつかのコードの色を使用してみましょう:
SELECT *製品FROM WHERE ID LIKE '%
$test%'SELECT *製品FROM WHERE ID LIKE '%
'--%'
文字--はSQLコメントの先頭を構成します。そのため、SQLインジェクションが発生した後は、それ以降のものは無視されます。クエリの唯一の機能部分は次のとおりです。
SELECT *製品からID LIKE '%'
素敵な返事、knowlegdeに感謝します。 – melkawakibi
は '$ _GET [ 'テスト']'何を返さないWHERE? – Akintunde007
$ _GET ['test']エコー: ' - – melkawakibi
なぜあなたはSQLインジェクション可能なウェブサイトを作るでしょうか? – Naruto