第一个问题,但实际上似乎
mysqli->query不会立即执行2条语句。是不是
是的,如果要执行多个语句,则需要使用
mysqli->multi_query。您可以在这里找到有关多条语句的很好的解释:http : //www.php.net/manual/en/mysqli.quickstart.multiple-
statement.php
但是这个问题出现了,我想摆脱它的诀窍不见了
出现问题是因为您正在使用多个语句,
mysqli->query而不支持它们。
关于您的查询:
$result = $mysqli->query("SELECt * from myTable where field='".$_GET['var']."');您可以使用例如注入
1' OR 1=1;这将返回
myTable查询结果中的所有条目。
"SELECt * from myTable where field='".$_GET['var']."' AND field2 IS NOT NULL"
在这里你可以使用
1' OR 1=1 UNIOn ALL SELECt * FROM myTable WHERe '1'='1
如今,有一些工具可以为您自动检查SQL注入,例如以SQL Inject Me(Firefox插件)为例。
