Sto provando ad eseguire uno SQLi ma il mysql dà una risposta all'errore. L'input dovrebbe commentare tutto, dopo i due trattini, in modo che possa risultare in questo: '%'
. Invece dà questo errore: '--%'
'.
Questo è il codice che sto usando per eseguire la query con.
if(isset($_GET['test'])){
$test = $_GET['test'];
//test
$res = $db->run_query_find_all( "SELECT * FROM product WHERE name LIKE '%$test%'");
while($product = $res->fetch_assoc()){
print_r($product);
}
}
ingresso
';--
Nell'esempio dell'editor:
Risposta:
YouhaveanerrorinyourSQLsyntax;checkthemanualthatcorrespondstoyourMySQLserverversionfortherightsyntaxtousenear'--%''atline1
Aggiorna
RicevoancoraunerroreanchesesemplificailmioSQLi
.QuandofacciounarichiestaPOSTconlastessaquery,nonmostraerrori,mamostratuttelerighedellatabellaProdotto,ilchesignificacheSQLi
èstatosuccesso.
Input:'--
Input:'#