知道代码和表名,清空数据表 问大家一个问题, 知道留言板中插入数据的代码,也知道数据表名, 有没有办法通过前台输入,清空数据库或表,我是用户角色,没有任何的权限. 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 有没有删除记录的权限?如果有就用delete语句不过,提供前台清空表的操作很危险!!! 代码里对文本框里数据做安全措施没?比如addcslashes这些!没有的话就可以!希望是为了加强网站防御了解这方面的知识! 如果mysql连接帐户没有删除权限的话是不可以删除的,楼主的意思是怕用户在留言板里写SQL语句注入吗,如果是的话可以用验证过滤留言内容!下面一段代码对楼主不知有没有用.function check_input($value){if (get_magic_quotes_gpc()) { $value = stripslashes($value); }if (!is_numeric($value)) { $value = "'" . mysql_real_escape_string($value) . "'"; }return $value;} 大概 是想注入别人吧。一般的程序insert语句都会有过滤的,找注入点,一般找查询语句 比较困难,如果这个程序用的是mysqli_query,它只支持单句查询,即使你注入成功,但还是无法执行delete操作,建议还是使用一些专门的安全检测工具,不过还是要合法使用 想转行做IT,请大家给我点意见 求投票系统制作方法 问一个PHP标签的问题 请求各位代码共享,提供一个不错的数据库操作类,谢谢。 php+mysql新闻文章系统源代码哪个比较好呢? 菜鸟问题:我得不到提交参数的值! 论坛中怎么调出发贴第2的用户,怎么修改SELECT username,posts,userid FROM user ORDER BY posts desc LIMIT 1 特别容易的问题,发一封 HTML 格式的信 解决了问题心情好,来者给分------ 急!!100积分!求助!命名管道的问题!!!!!! php网站不显示警告,要怎么办? 求代码解释
function check_input($value)
{
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
if (!is_numeric($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}
找注入点,一般找查询语句
比较困难,如果这个程序用的是mysqli_query,它只支持单句查询,即使你注入成功,但还是无法执行delete操作,建议还是使用一些专门的安全检测工具,不过还是要合法使用