SQL-инъекции - Magic quotes

Written on . Posted in Язык запросов SQL

ОГЛАВЛЕНИЕ

Страница 8 из 10
 

Magic quotes

Магические кавычки делают невозможным использование SQL инъекций в строковых переменных, поскольку автоматически экранирует все ' та " Которые приходят с $_GET та $_POST.

Но это не касается использования уязвимостей в целых или дробных параметрах, правда с поправкой, что нельзя будет использовать '. В этом случае помогает функция сhar.
SELECT * FROM `news` WHERE `id`=-1 UNION SELECT
null,char(116,101,115,116),null,null;

базы данных форум