sql >> Databasteknik >  >> RDS >> Mysql

MySQL-injektion av LIKE-operatör

Vilken operatör som helst kan injiceras utan bindning.

$_POST['search'] = "1%'; DROP TABLE myTable LIKE '%";

Skulle göra

.... AND tags,title,text LIKE '%1%'; DROP TABLE myTable LIKE '%%'

Läs mer hur man binder parametrar .



  1. SQL-uppdatering från en tabell till en annan baserat på en ID-matchning

  2. Implementering av inkrementell belastning med Change Data Capture i SQL Server

  3. Varför behöver vi meddelandeförmedlare som RabbitMQ över en databas som PostgreSQL?

  4. Duplicera hela MySQL-databasen