Возможна ли тут SQL инъекция?

Возможна ли инъекция?

WHERE username = '".$_POST['user']."'

// это не мой код, нашел эту строку в движке который купил за деньги ) мда
  • Вопрос задан
  • 290 просмотров
Пригласить эксперта
Ответы на вопрос 2
HiNeX
@HiNeX
Web Developer
Да, это открытая SQL Injection уязвимость. Можете использовать mysql_real_escape_string для экранирования если используете старые методы для работы с БД. Если нет, отпишите в комментариях, объясню как это сделать через другие методы.
WHERE username = '".mysql_real_escape_string($_POST['user'])."'
Ответ написан
littleguga
@littleguga
Не стыдно не знать, а стыдно не интересоваться.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы