当查询中的变量没有引号时，是否可以使用mysql_real_escape_string进行SQL注入？

Take for example this

$username = mysql_real_escape_string($_GET['username']);
$password = mysql_real_escape_string($_GET['password']);
$sql = "SELECT * FROM users WHERE username = $username AND password = $password";

If there are no quotes around $username and $password, is injection still possible ?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
doubipeng1336 2011-08-25 21:06
关注
If there are no quotes around $username and $password, is injection still possible ?

Yes. mysql_real_escape_string() prevents only escaping from the quotes in a string.

Without surrounding quotes, mysql_real_escape_string() is useless.

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(2条)

报告相同问题？

关注问题

当查询中的变量没有引号时，是否可以使用mysql_real_escape_string进行SQL注入？ mysql php
2011-08-25 21:05

回答 3 已采纳 If there are no quotes around $username and $password, is injection still possible ? Yes. mys
c#查询sql server数据库中的数据时，字段名能否使用变量？? c# sql visual studio
2021-02-09 23:11

回答 4 已采纳 private void insertfuzhu(string item,string tb) { database db = new database(); string
SQL Server中，如何向动态sql中传递表变量？即表变量如何在动态sql中使用 sql
2020-08-21 11:26

回答 1 已采纳尝试使用表类型 ``` CREATE TYPE mytb AS TABLE ( id int,name nvarchar(50)); go DECLARE @tb mytb;
mysql real escape,mysql_real_escape_string（）函数
2021-04-19 06:21

知乎电影的博客 mysql_real_escape_string()函数mysql_real_escape_string()函数用于转义SQL语句中的特殊字符，该函数的语法格式如下：string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] ...
如何从SQL获取数据，在PHP中列为变量，然后将其作为$ _POST发送回SQL？ html5 php sql
2019-05-12 13:14

回答 1 已采纳 If you select data from database and display it in your app, you do not need to store same data in
在sql查询中使用SESSION变量时尝试获取非对象的属性 mysql php sql
2018-01-24 04:18

回答 2 已采纳 You need to correct your SQL "SELECT * FROM `users` WHERE `rank` = Admin AND `username`='".$usern
带有变量的MySQL UNIX_TIMESTAMP？ mysql php
2018-11-24 05:14

回答 1 已采纳 You can try below SELECT * FROM events WHERE event_date > UNIX_TIMESTAMP(DATE_SUB(NOW(), INT
php mysql_escape_string 替代方法,PHP_PHP函数addslashes和mysql_real_escape_string的区别，首先：不要使用mysql_escape_str...
2021-04-21 22:49

沈公子329的博客 PHP函数addslashes和mysql_real_escape_string的区别首先：不要使用mysql_escape_string，它已被弃用，请使用mysql_real_escape_string代替它。mysql_real_escape_string和addslashes的区别在于：区别一：addslashes...
如何在HEREDOC SQL查询中使用PHP变量？ mysql php
2019-03-28 04:03

回答 1 已采纳 Try this: $sql = <<<SQL SELECT * FROM `users`, `passwords` WHERE users.User_
如何将字符串变量放在mysql_resutl字段中？ mysql php sql
2014-06-18 09:42

回答 1 已采纳 Try this if ($_GET['CHOOSE'] == 1) { $field = "col1"; } else { $field = "col2"; } echo mysql_r
通过$ _GET [duplicate]传递变量时SQL中的错误查询 php sql
2016-01-14 10:39

回答 3 已采纳 Database table names should not be enclosed with single quotes. Corrected SQL: $q="DELETE FROM $
mysql 绕过addslashes_魔术引号、addslashes和mysql_real_escape_string的防御以及绕过
2021-01-19 17:42

weixin_39598501的博客魔术引号当打开时，所有的 '(单引号)，"(双引号)，\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。一共有三个魔术引号指令：magic_quotes_gpc 影响到 HTTP 请求数据(GET...
MySQL查询语句表名设置变量？ java maven mysql spring
2019-10-16 15:12

回答 2 已采纳 select * from ${tableName} where name = ${name} tableName 业务层去拼
mysql_escape_string 宽字符_PHP函数 addslashes() 和 mysql_real_escape_string() 的区别 && SQL宽字节，绕过单引号注入攻击...
2021-03-15 11:53

weixin_39795325的博客首先：不要使用 mysql_escape_string()，它已被弃用，请使用mysql_real_escape_string()代替它。区别一：addslashes() 不知道任何有关MySQL连接的字符集。如果你给所使用的MySQL连接传递一个包含字节编码之外的其他...
mysql htmlspecialchars_htmlspecialchars和mysql_real_escape_string是否可以防止我的PHP代码被注入？...
2021-02-07 08:30

weixin_39863017的博客小编典典对于数据库查询，请始终尝试使用准备好的参数化查询。...它所要做的就是逃避危险字符，以便可以安全地在单个查询字符串中使用它们。但是，如果您不事先清理输入内容，那么您将容易受到某些攻...
没有解决我的问题, 去提问

悬赏问题

¥15 一直显示正在等待HID—ISP
¥15 Python turtle 画图
¥15 关于大棚监测的pcb板设计
¥15 stm32开发clion时遇到的编译问题
¥15 lna设计源简并电感型共源放大器
¥15 如何用Labview在myRIO上做LCD显示？(语言-开发语言)
¥15 Vue3地图和异步函数使用
¥15 C++ yoloV5改写遇到的问题
¥20 win11修改中文用户名路径
¥15 win2012磁盘空间不足,c盘正常，d盘无法写入

当查询中的变量没有引号时，是否可以使用mysql_real_escape_string进行SQL注入？

3条回答 默认 最新

悬赏问题

3条回答默认最新