我开发了一个简单的应用程序,用于研究SQL注入,其中我搜索速率 < 40 并检索所有速率小于40的名称,但是当我将搜索传递为 40' OR '1'='1 时,它会从数据库表中检索所有记录。我知道如何解决这个问题,但我不知道 40' OR '1'='1 在搜索框中的作用是什么。有人能简要告诉我在搜索框中传递40' OR '1'='1时会发生什么吗?
希望能尽快得到积极回复...
希望能尽快得到积极回复...
<?php
include("conn.php");
$get_rate = $_GET['rate'];
$query = "select * from `sqlinjection`.`products` WHERE `products`.`rate` < '".$get_rate."'";
$result=mysql_query($query);
if($result == false)
{
die(mysql_error());
}
while($row=mysql_fetch_array($result))
{
echo "Name".$row['srno']."<br/>";
echo "Name".$row['name']."<br/>";
echo "Rate".$row['rate']."<br/>";
}
?>
010110
工具栏按钮格式化源代码。这一次我已经为你完成了。 - Álvaro González{}
。 - Piskvor left the building