是否可以将"insert“语句(或任何其他更改数据库的语句)偷偷放入MySQL "select”语句中?我之所以问这个问题,是因为我担心我发现了一个注入漏洞,但由于一次只能运行一条语句,而不管查询被损坏到包含多少条语句,因此它不会像'; drop database; --那样受到明显的破坏。但是如果后端正在执行像select bar from foo where param = '$improperly_escaped_input'这样的东西,有没有什么我可以输入的东西会危及我的数据
当我在模块中使用mysql_query()时,我会收到以下警告。如果我使用db_query(),它可以正常工作。代码是一个简单的查询,没有特殊的字符或变量:mysql_query("SELECT * FROM custom_nodify WHERE nid = 345");。我应该指出,对mysql_query()的任何调用都会发生这种情况。
你知道为什么这不管用吗?