SQL-инъекции в ADOdb и общая безопасность сайта
Я много читал и до сих пор не понимаю на 100%, как происходят некоторые SQL-инъекции!
Я хотел бы видеть от тех, кто знает, конкретные примеры внедрения SQL на основе моего примера, чтобы его можно было реплицировать, тестировать и исправлять. Я пытался ввести SQL-код в свой код и не смог, поэтому мне бы хотелось, чтобы кто-то доказал мне обратное!
1. Я прав, что SQL-инъекция может происходить ТОЛЬКО с методами POST или GET, что означает, что на веб-сайте должна быть форма публикации, например «регистрация или поиск»; или запрос, подобный & quot; search.php? tags = love & apos ;?
Сказать, что это возможно, чтобы ввести следующий код, который имеет метод POST?
$name = trim($_POST['username']);
$mail = trim($_POST['email']);
$password = trim($_POST['password ']);
if ($errors == "false") {
$sql =
"INSERT INTO
clients
SET
name='" . mysql_real_escape_string($name) . "',
mail='" . mysql_real_escape_string($mail) . "',
password='" . mysql_real_escape_string(sha1($password)) . "'";
$connection->execute($sql);
}
2. Другой имеет метод GET:rate.php?like&videoID=250&userID=30
$sql =
"SELECT
videoID
FROM
likes
WHERE
videoID = '" .mysql_real_escape_string($videoID). "' AND UID = '" .mysql_real_escape_string($userID). "' LIMIT 1";
$connection->execute($sql);
Пожалуйста, помогите тем, кто чувствует себя свободно с предметом, но использует конкретные примеры.
Заранее спасибо,
Ilia