ユニオンでのSQLインジェクション

Question

私はそれについて学びたいと思っていたので少し質問をしています。質問があります。私は、HTMLフォームに'hi'を入力し、私たちはテーブルに配置されて得るために必要な情報は、ユーザーと呼ばれる応答

Error: The following error occurred: [near "hi": syntax error] 

Query: SELECT * FROM personnel WHERE name=''hi'' 

として、これを取り戻します。私はsqlを見ていましたが、ここでは2 + select文の結果を組み合わせた結合演算子を見ています。

私はこれを入力として試してみます：1 UNION SELECT * FROM usersと私は何も戻ってこないので、テーブルの人員の名前としてその入力から検索したようです。私はこれがうまくいくと思ったのは、クエリが次のようになるからです：SELECT * FROM personnel WHERE name=1 UNION SELECT * FROM users。私はこの1 UNION演算子は、私の入力に間違った何かを働くか、どのように

Answer 1

を理解していない午前：

set @hi = "'hi'"; 
select @hi; 

SELECT * FROM personnel WHERE name="'hi'" 

シミュレート：

insert into personnel (`name`) values("'hi'"); 
insert into personnel (`name`) values("'hello'"); 
select * from personnel where `name` != "'hi'" 

Answer 2

-- you can't use a double '' in sql query 
Query: SELECT * FROM personnel WHERE name='hi' 

Answer 3

ためpersonnelおそらくSQLが無効ですおよびusersは異なる形状を有する。あなたは最初のselectと同じものを注射する必要があります。

また、SQLに連結するのではなく、パラメータ化されたクエリを使用すると、問題はなくなります。