是否可以将"insert“语句(或任何其他更改数据库的语句)偷偷放入MySQL "select”语句中?但是如果后端正在执行像select bar from foo where param = '$improperly_escaped_input'这样的东西,有没有什么我可以输入的东西会危及我的数据库?无论如何,该漏洞都需要纠正。但是,如果我可以展示一个如何利用它来篡改数据的示例,那么修复它将排在优先级队列的前面。
我有一个HTML表单,检索不同数量的产品类型,用户输入股票数字。然后需要将该数据插入到新表中。下面是填充表单的PHP查询。$sql = "SELECT * FROM dealer_product WHERE customer_code='$custcode' ORDER BY prod_code";
$prodcode