pdo - mysql 简单注入疑问

问题描述

mysql数据库表user结构如图，php版本5.4.31

$uid='1’; select * FROM user;';

直接用：

$result=mysql_query('select * from user where uid=’$uid’ ');

mysql_error()显示

`You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ’select * FROM user;’’ at line 1`

和用pdo查询：

$sql='select * from user where uid=’$uid’ ';$res=$pdo->query($sql);

显示$res是空

请问大神我构造的mysql注入语句是不是有错...我主要目的是想测试不同的mysql注入语句，pdo_mysql的防护性

问题解答

$uid='1’; select * FROM user;';这种声明其实和你的测试没关系，反而造成困扰，你可以直接测试mysql_query('select * from user where uid=1; select * from user')。我没深入研究过这个东西，但是你的两种测试是等价的，都会被注入。

最简单的注入问题例子是 $username = 'It’s test'，然后被执行的时候变成 'select * from user where username=’It’s test'，引发语法错误。而PDO等通过预处理防止此类问题，如 $pdo->query('select * from user where username=?', array('It’s test'));此时会适当转意起到防注入作用，但是像你的例子中直接$pdo->query($sql)这种用法，防护机制此时根本不会产生任何效果的。

大意如此，自己理解吧。

最近工作很忙，大部分邀请都只好忽略了，偶尔回答几个也没时间说太多，只能说抱歉了。

mysql_query时，拼接的SQL语句是，是不合法的

select * from user where uid=’1’; select * FROM user;’

想办法把单独的’闭合，改成下面的代码就可以了：

$uid='1’; select * FROM user where uid=’';

PDO会自动转义，查询的以下语句，所以为空。

select * from user where uid=’1’; select * FROM user;’回答3：

自己发现问题了：

直接使用$uid= '888’ or ’2=2';

整个user表的内容都爆出来了