mysql 简单注入疑问

Question

mysql数据库表user结构如图，php版本5.4.31

$uid="1'; select * FROM user;";

直接用：

$result=mysql_query("select * from user where uid='$uid' ");

mysql_error()显示

`You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'select * FROM user;'' at line 1`

和用pdo查询：

$sql="select * from user where uid='$uid' ";
$res=$pdo->query($sql);

显示$res是空

请问大神我构造的mysql注入语句是不是有错...
我主要目的是想测试不同的mysql注入语句，pdo_mysql的防护性

Answer 1

$uid="1'; select * FROM user;";这种声明其实和你的测试没关系，反而造成困扰，你可以直接测试
mysql_query("select * from user where uid=1; select * from user")。我没深入研究过这个东西，但是你的两种测试是等价的，都会被注入。

最简单的注入问题例子是 $username = "It's test"，然后被执行的时候变成 "select * from user where username='It's test"，引发语法错误。而PDO等通过预处理防止此类问题，如 $pdo->query("select * from user where username=?", array("It's test"));此时会适当转意起到防注入作用，但是像你的例子中直接$pdo->query($sql)这种用法，防护机制此时根本不会产生任何效果的。

大意如此，自己理解吧。

最近工作很忙，大部分邀请都只好忽略了，偶尔回答几个也没时间说太多，只能说抱歉了。

Answer 2

mysql_query时，拼接的SQL语句是，是不合法的

select * from user where uid='1'; select * FROM user;'

想办法把单独的'闭合，改成下面的代码就可以了：

$uid="1'; select * FROM user where uid='";

PDO会自动转义，查询的以下语句，所以为空。

select * from user where uid='1\'; select * FROM user;'

Answer 3

自己发现问题了：

直接使用$uid= "888' or '2=2";

整个user表的内容都爆出来了