我想知道这是SQL注入错误还是什么?有什么数据库?mssql ?
发生数据库错误
Error Number: 1054
Unknown column '20and' in 'where clause'
查询 :-
select * from static_info where main_id=60%20and
and language_code='az' order by id desc
在位置 :-
Filename: /home/test/public_html/controllers/welcome.php
Line Number: 115
您需要对字符列使用单引号
select * from static_info where main_id='60%20and' and language_code='az'
order by id desc
他们正在使用Codeigniter作为框架,
您发布的错误只是告诉您不存在20and
字段,
这只是一个类似404 Not Found
的错误,您尝试使用的符号将是转义,
这是防止SQL注入的一种方法,也有很多。
如果您尝试SQL注入,则会收到以下错误:
An Error Was Encountered
The URI you submitted has disallowed characters.
是的,这可以说是sql注入,因为用户可以从UTL访问您的数据库,用户可以轻松地在数据库中执行查询并损害您的数据库,如果您注意到[链接]http://nidavh.org/news_index/1 ,这将作为"从static_info中选择 *"执行,其中 main_id=1 ..."我可以通过ID查看静态页面。 我希望你明白我的意思
应使用参数化查询来防止 sql 注入
Select * from TableName where Columnname1='Your Paremeters' and Columnname2='Your Parameters'