OK、ページの URL に変数を渡す PHP があります。PHP ページは「item1」という名前の変数を取得し、次のように変数の前に文字列を追加します (例として、変数が 10 であるとします)。
$v1 = $_GET['item1'];
echo "$v1";
$v2 = 'table-';
$v3 = $v2.$v1;
echo "$v3";
これにより、Web ページに「table-10」が出力されます。素晴らしい。
これを MySQL の select ステートメントに渡し、"table-10" という名前のテーブルをクエリできるようにします。
$sql = "select * from $v3";
$result = mysql_query ($sql);
ただし、これは機能しません。私はここで本当に愚かなことをしていますか?どんな助けでも大歓迎です。
編集:
すべてのヘルプ担当者に感謝します。SQLi インジェクションに関しては、コメントを歓迎しますが、これはローカルのみのシステムであり、外部への露出がまったくないため、エクスプロイトは現状ではかなり重要ではありません。このシステムは概念実証にすぎないため、実際に完全なシステムを構築するときに、エクスプロイトが含まれていないことを確認します。この問題は、バックティックを使用することで解決されました。どうもありがとうございました!