知道代码和表名,清空数据表 问大家一个问题, 知道留言板中插入数据的代码,也知道数据表名, 有没有办法通过前台输入,清空数据库或表,我是用户角色,没有任何的权限. 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 有没有删除记录的权限?如果有就用delete语句不过,提供前台清空表的操作很危险!!! 代码里对文本框里数据做安全措施没?比如addcslashes这些!没有的话就可以!希望是为了加强网站防御了解这方面的知识! 如果mysql连接帐户没有删除权限的话是不可以删除的,楼主的意思是怕用户在留言板里写SQL语句注入吗,如果是的话可以用验证过滤留言内容!下面一段代码对楼主不知有没有用.function check_input($value){if (get_magic_quotes_gpc()) { $value = stripslashes($value); }if (!is_numeric($value)) { $value = "'" . mysql_real_escape_string($value) . "'"; }return $value;} 大概 是想注入别人吧。一般的程序insert语句都会有过滤的,找注入点,一般找查询语句 比较困难,如果这个程序用的是mysqli_query,它只支持单句查询,即使你注入成功,但还是无法执行delete操作,建议还是使用一些专门的安全检测工具,不过还是要合法使用 mysql 查询区分大小写??? CHECKBOX的问题。求救。 汉字转换16进制 do_insert是系统函数么 关于百度URL编码的问题,请有经验的朋友指点。急!!! 在日文系统下输入的日文字要在中文系统下显示正确的日文,请问如何做到? PHP连MSSQL的问题 请教一个关于记录自动编号的问题 再问cookie问题 那位兄弟帮我看看我的源程序错在哪里? php网站不显示警告,要怎么办? 求代码解释
function check_input($value)
{
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
if (!is_numeric($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}
找注入点,一般找查询语句
比较困难,如果这个程序用的是mysqli_query,它只支持单句查询,即使你注入成功,但还是无法执行delete操作,建议还是使用一些专门的安全检测工具,不过还是要合法使用