Prepared statements
SQLクエリでの使用を提案するさまざまな記事を読みmysql_ lib does not allow executing 2 queries in one statement
ましたが、ページの実行中にクエリを1回だけ起動する必要がある場合、それらを使用する価値があるため、場合によってはmysql_queryも無効な投稿データを無視するようです( 'ADMIN' OR 1--
)
$username = $_POST['username'];
$password = $_POST['password'];
mysql_query("SELECT * FROM users WHERE username=$username AND password=$password");
//processing
今、誰かが「ユーザー名」を
'ADMIN' OR 1--
上記のクエリは「管理者」行をフェッチしません! これは、 の後のコメントを無視する mysql_query の機能ですか'1' / Special chars
。MYSQL 5.5 と PHP 5.3 を実行しているこの場合、SQL インジェクションはどのように発生しますか?