28.10.2010, 01:53
|
|
Новичок
Регистрация: 03.07.2010
Сообщений: 28
С нами:
8347286
Репутация:
0
|
|
Есть страница, которая методом get принимает числовой параметр:
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]page[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]php[/COLOR][COLOR="#007700"]?[/COLOR][COLOR="#0000BB"]p[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]1[/COLOR][/COLOR]
в коде страницы это значение присваивается переменной $r
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]$r[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'r'[/COLOR][COLOR="#007700"]];[/COLOR][/COLOR]
и только затем оно фильтруется на недопустимые символы.
Если в r передать sql запрос
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]page[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]php[/COLOR][COLOR="#007700"]?[/COLOR][COLOR="#0000BB"]r[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"INSERT ...[/COLOR][/COLOR]
то по-идее php должен его выполнить:
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]$r[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"INSERT ... "[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]
Я прав? |
|
|