如何禁用多个语句注入？

Suppose the website is written in PHP which disables multiple statements. If the query looks like this:

Select id From TableX Where num = >userInput<

Is it impossible to Update or Delete record by SQL Injection? Is it possible to get the content from another table, like tableB, which may not be union-compatible?

Thanks in advance.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
duanci1858 2012-02-16 05:24
关注
userInput = -1 union select GetCharCode(SomeStringField, CharPosition) from SomeTable where SomeCondition, where GetCharCode returns the code of character in CharPosition of SomeStringField (you need to write some DB-specific code there) will help you to get the value of SomeStringField by looping through possible CharPositions, and thus bypass the problem of tableB not being "union-compatible".

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(1条)

报告相同问题？

关注问题

如何禁用多个语句注入？ php sql
2012-02-16 05:16

回答 2 已采纳 userInput = -1 union select GetCharCode(SomeStringField, CharPosition) from SomeTable where SomeCo
如何写这个SQL语句??
2016-10-08 04:15

回答 6 已采纳 SELECT T.FOODNAME FROM FOODTEST T, (SELECT MIN(T1.PRICE) PRICE, T1.TYPE FROM F
python3.0 for语句错误？ python
2019-10-10 15:23

回答 2 已采纳 for最后要有冒号，循环体要缩进
SQL注入-二次注入和多语句注入
2022-02-11 18:41

一句话木马的博客简单的说二次注入就是已经存储到数据库中的用户输入，在进行再一次读取的时候进去SQL查询语句中的注入。二、二次注入的原理第一步：插入恶意数据第一次进行数据库插入数据的时候，仅仅对其中的特殊字符进行了...
如何在单个查询中编写具有多个where条件的多个select语句？ php sql
2016-08-25 06:48

回答 3 已采纳 This is called conditional aggregation : SELECT COUNT(CASE WHEN t.rating =5 THEN 1 END) as five,
算法的语句频度问题？数据结构有问必答算法
2022-02-27 09:58

回答 3 已采纳因为第二个for循环在第一个for循环之内，第一个for循环的执行次数是n，第n+1次只判断，不执行，所以第二个for循环在第一个for循环内的实际执行次数是n；第二个for循环本身的频度是n+1（执
C语言如何定义多个数组？ c语言
2021-06-25 00:20

回答 2 已采纳 int 数组名[数组长度]; 数组名想叫啥叫啥，比如 int a1[10]; int a2[10];这样你就开了两个长度为10的int类型的数组，名字分别为a1和a2，只要名字不一样就是开了另一个数
php7 mysql防注入_php如何防sql注入？
2021-02-08 22:56

雾里听风的博客 SQL注入(SQLi)是一种注入攻击，，可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询，使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施；可以绕过网页或...
Mysql语句转换为Mybatis语句？ mysql sql 数据库
2021-12-16 12:50

回答 2 已采纳在mybatis的xml文件里把>= 写成>= 就可以了>就表示大于号 SELECT date_format(ordertime, '%Y-%m-%d') AS 日期,
有个多表查询的sql语句怎么写？ mysql sql
2019-11-12 10:31

回答 1 已采纳假设表1为t1，表2为t2，账户密码在t1里面,密码字段为password select t1.*, t2.* from t1 join t2 on(t1.id = t2.id) wh
delphi 数据库多个条件查询语句怎么写啊？数据库
2018-08-08 07:48

回答 2 已采纳最简单的写法 ``` sql := 'select "|||" + NAME + "|||" + TITLE + "|||" + CONSTR + "|||" as d from tab
php使用mysql预处理语句防止sql注入简单讲解及代码实现
2020-07-29 20:00

AkagiSenpai的博客 sql注入是一个非常常见的漏洞，可能会带来严重的后果，sql注入漏洞来自于sql查询语句的拼接，攻击者通过非法的输入改写sql语句的语义，以达到攻击者的目的。 sql注入简单介绍 sql注入漏洞来自于sql查询语句的拼接，...
else应输入一个语句，哪里出错了？ c语言有问必答
2021-10-28 21:32

回答 1 已采纳加上 { } ，供参考： #include <stdio.h> int main() { int a,b; float c,d; printf("请输入两个整数：");
一张图片也能SQL注入？
2022-02-09 18:00

蚁景网安实验室的博客点击"蓝字"关注，获取更多技术内容前言最近在复盘SQL注入，看到有一个trick挺有意思的，这个trick主要利用后端程序会将文件exif信息插入数据库进行SQL注入因此本篇文章会从题目解...
PHP MySQL 预处理语句
2021-01-03 05:40

预处理语句用于执行多个相同的 SQL 语句，并且执行效率更高。预处理语句的工作原理如下：预处理：创建 SQL 语句模板并发送到数据库。预留的值使用参数 “?” 标记。例如： INSERT INTO MyGuests (firstname, ...
没有解决我的问题, 去提问

悬赏问题

¥15 关于#matlab#的问题：在模糊控制器中选出线路信息，在simulink中根据线路信息生成速度时间目标曲线（初速度为20m/s，15秒后减为0的速度时间图像）我想问线路信息是什么
¥15 banner广告展示设置多少时间不怎么会消耗用户价值
¥16 mybatis的代理对象无法通过@Autowired装填
¥15 可见光定位matlab仿真
¥15 arduino 四自由度机械臂
¥15 wordpress 产品图片 GIF 没法显示
¥15 求三国群英传pl国战时间的修改方法
¥15 matlab代码代写，需写出详细代码，代价私
¥15 ROS系统搭建请教（跨境电商用途）
¥15 AIC3204的示例代码有吗，想用AIC3204测量血氧，找不到相关的代码。

如何禁用多个语句注入？

2条回答 默认 最新

悬赏问题

2条回答默认最新