параметр post не может быть введен

Question

Я хочу понять, почему нельзя вводить операторы SQL в форме параметров POST.Я пробовал это с sqlmap и вручную безуспешно.

Существует определенная функция:

function mysql_get_result($sQuery, $hSocket) //$sQuery: mysql query, 
                                          $hSocket:MySQLSocket(mysql_connect).  
{
 $sResource = mysql_query($sQuery, $hSocket);
 list($sValue) = mysql_fetch_row($sResource);
 return $sValue;
}

, и существует фактический запрос для параметра POST:

(mysql_get_result("SELECT place FROM towns
 WHERE place = '".$sR_place."' AND num = '".$iR_num."'", $hMySQLSocket) 
 == $sR_place and $sR_place != '')

Нет входной санитарии вообще.Так почему же это не работает?Внедрение sql работает только тогда, когда его функция mysql_query не выполняет больше шагов?

Answer 1

Ваш код должен быть уязвим для внедрения SQL, поскольку вы не выполняете санитарную обработку с помощью mysql_real_escape_string или параметризацию запроса.

Вы должны попытаться изменить параметры POST, потому что, скорее всего, проблема в том, что ваша атака не отформатирована должным образом. Попробуйте различные атаки .