Использование PHP внутри mysqli где предложение [Havij]
Так что мой сайт был открыт для SQL-инъекций и эксплуатировался с использованием Havij. Мой вопрос для этой программы вы можете сделать заполнитель в формате getVariable=%inject_Here%,
Теперь я знаю, что в подобном утверждении вы можете использовать% в качестве символа подстановки.
Знаки% имеют какое-либо значение в сравнении равных? Или с этой структурой он буквально ищет строку «% inject_Here%».
Я просто пытаюсь понять формат, чтобы помочь в дальнейшем предотвратить инъекцию.
Любая информация на эту тему будет оценена!
Решение
Вы можете преобразовать строку в ее шестнадцатеричное значение. Вот сайт о том, как сделать это в SQL http://www.codeproject.com/Articles/610089/SQL-Servers-FORMAT-function#13. Каждый язык имеет простой в использовании метод для преобразования строк в шестнадцатеричные и обратно. Это позволит вам разместить любой символ в строке.
Если вы на самом деле используете проценты математическим способом, неправильно хранить их в строке sql. Вы должны хранить его в десятичном формате. десятичный (p, s) пример десятичный (5,2)
Другие решения
Других решений пока нет …