Siempre he leído que Magic Quotes no deje de Inyecciones SQL en todo, pero yo no soy capaz de entender por qué no! Como un ejemplo, supongamos que tenemos la siguiente consulta:

SELECT * FROM tablename
  WHERE email='$x';

Ahora, si la entrada del usuario, hace que $x=' OR 1=1 --, la consulta sería:

SELECT * FROM tablename
  WHERE email='\' OR 1=1 --';

La barra diagonal inversa será añadido por arte de Magia Citas con ningún daño en absoluto!

Hay una manera de que no estoy viendo donde el usuario puede omitir la Magia de la Cotización de las inserciones de aquí?

OriginalEl autor Kshitij Saxena -KJ- | 2010-04-29

1 Comentario

  1. 22

    El truco es por lo general para pasar de un valor binario, de modo que la barra invertida se convertiría en una parte de válido de caracteres multibyte. Aquí está una blog sobre ella.

    Siempre he tenido la impresión de que la inyección de SQL fue un problema más grave, posiblemente, que afecta a casi todos los novatos de los intentos de una secuencia de comandos. Todavía no puedo creer que la magia de las cotizaciones de hacer absolutamente seguro a menos que haya utilizado un multi-byte conjunto de caracteres.

    OriginalEl autor newtover

Dejar respuesta

Please enter your comment!
Please enter your name here