这个SQL代码容易受到攻击,但我无法获得正确的代码。
这是SQL查询:
UPDATE phpbb_users SET user_email = 'bob@seed.com', user_icq = '', user_website = '',
user_occ = '', user_from = 'asdasd', user_interests = 'something', user_sig = '',
user_sig_bbcode_uid = '', user_viewemail = 0, user_aim = '', user_yim = 'asdad', user_msnm =
'', user_attachsig = 1, user_allowsmile = 1, user_allowhtml = 0, user_allowbbcode = 1,
user_allow_viewonline = 1, user_notify = 0, user_notify_pm = 1, user_popup_pm = 1,
user_timezone = 0, user_dateformat = 'D M d, Y g:i a', user_lang = 'english', user_style = 1,
user_active = 1, user_actkey = '' WHERE user_id = 4
我可以将某些东西置于兴趣之中,例如,可以通过单引号转义(魔术引号等等都在机器上。这是一个学习的测试机器)。
因此,例如,如果我将兴趣字段放入此值:
tacos' , user_website = 'www.google.com
它会成功将兴趣更新为“tacos”,并将网站更新为“www.google.com”。这根本不是很有趣,但是......
这更有趣:
tacos', user_id = '100
并且user_id已成功设置为100,而不是4.仍然不是那么有趣......
我希望能够修改发生这种情况的user_id - 这可能是什么方式?我一直在尝试做
之类的事情 tacos' WHERE user_id = 2; --
但那些没有用。
知道如何更改user_id字段吗?
编辑:我自己得到了答案。评论运算符是#。我浪费了一个小时。我希望这有助于某人。