假设我有以下代码:
$fetchlast1 = mysql_query("SELECT * FROM tableOne WHERE name='billy'");
while ($row = mysql_fetch_array($fetchlast1)) {
$id = $row[1];
if($id == '23'){
//give admin privileges.
}
}
假设$id的值是'45'而不是'23'。技术人员或任何人都可以以某种方式将接收值更改为"23"并因此获得管理权限吗?
答案是对和没有。如果您的值在代码中是硬核的,那么就没有SQL注入的机会。这取决于您在查询中包括'billy'的方式(阅读更多mysqli预处理语句)。此外,当与此查询一起使用时,您的逻辑操作没有任何意义。
我也强烈建议您使用mysqli (MySQL改进的语法)开始PHP编程