Erfolgreiche SQL-Injection trotz PHP Magic Quotes
Ich habe immer gelesen, dass Magic Quotes SQL Injections überhaupt nicht stoppen, aber ich kann nicht verstehen, warum nicht! Nehmen wir als Beispiel an, wir haben die folgende Abfrage:
SELECT * FROM tablename
WHERE email='$x';
Now, wenn die Benutzereingabe @ mac$x=' OR 1=1 --
, die Abfrage wäre:
SELECT * FROM tablename
WHERE email='\' OR 1=1 --';
Der Backslash wird von Magic Quotes hinzugefügt, ohne dass Schaden angerichtet wird!
Gibt es eine Möglichkeit, dass ich nicht sehe, wo der Benutzer die Magic Quote-Einfügungen hier umgehen kann?