PHP के mysql_query
. के बाद से वह विशेष इंजेक्शन काम नहीं करेगा फ़ंक्शन प्रति कॉल केवल एक क्वेरी की अनुमति देता है। हालांकि, निम्नलिखित काम कर सकते हैं यदि column
एक प्राथमिक या अद्वितीय कुंजी है:
$unsafe_variable = "admin') ON DUPLICATE KEY UPDATE password=MD5(CONCAT('knownsalt', 'newpassword'))#";
लंबे समय तक चलने वाले mysql_real_escape_string
का उपयोग करना बेहतर है समारोह:
$sql=sprintf("INSERT INTO table (column) VALUES(%s)",
mysql_real_escape_string($unsafe_variable));
mysql_query($sql);