PHP注入实例之PHP网站系统入侵(图)

再提交语句以前我们还是先来说明一下php注入的原理和一个小例子，php注入就是利用变量过滤不足造成的
看看下面两句SQL语句：
①SELECT * FROM article WHERE articleid='$id'
②SELECT * FROM article WHERE articleid=$id
　　两种写法在各种程序中都很普遍，但安全性是不同的，第一句由于把变量$id放在一对单引号中，这样使得我们所提交的变量都变成了字符串，即使包含了正确的SQL语句，也不会正常执行，而第二句不同，由于没有把变量放进单引号中，那我们所提交的一切，只要包含空格，那空格后的变量都会作为SQL语句执行，我们针对两个句子分别提交两个成功注入的畸形语句，来看看不同之处。
① 指定变量$id为：
1' and 1=2 union select * from user where userid=1/*
此时整个SQL语句变为：
SELECT * FROM article WHERE articleid='1' and 1=2 union select * from user where userid=1/*'
②指定变量$id为：
1 and 1=2 union select * from user where userid=1
此时整个SQL语句变为：
SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1
　　看出来了吗？由于第一句有单引号，我们必须先闭合前面的单引号，这样才能使后面的语句作为SQL执行，并要注释掉后面原SQL语句中的后面的单引号，这样才可以成功注入，如果php.ini中magic_quotes_gpc设置为on或者变量前使用了addslashes()函数，我们的攻击就会化为乌有，但第二句没有用引号包含变量，那我们也不用考虑去闭合、注释，直接提交就OK了。

 

图文：http://www.educity.cn/labs/648094.html