sql инъекция, нужна помощь
Можно ли сделать sql инъекцию к этому запросу? И как, например? В переменную $text
SELECT * FROM `test` WHERE `param` LIKE '%".$text."%' AND `id` != 1
Ответы (1 шт):
Автор решения: Егор Банин
→ Ссылка
В общем случае вы должны поместить в $text такой текст, конкатенация которого в ваш запрос превратит его в новый. Можно поменять условия WHERE, можно выбрать что-то из другой таблицы через UNION, можно поставить точку с запятой и дропнуть всю базу.
$text = "';update `test` set `param` = 1 where 1;--";
SELECT * FROM `test` WHERE `param` LIKE '%';update `test` set `param` = 1 where 1;--%' AND `id` != 1