¿Es posible actualizar un campo en una base de datos MySQL o insertar una nueva fila usando inyección SQL en este caso?
- La única protección en el código PHP es mysql_real_escape_string ().
- La consulta se construye entre comillas dobles:
"select id from db where id = $id"
no comillas literales de una sola cadena. - La base de datos es mysql (usando mysql_query php call), por lo que no creo que las consultas apiladas sean posibles (corríjame si me equivoco).
- Usando mysql no mysqli.
Intenté usar algo como 1; update users set first_name = foo
sin suerte e intenté pasar las comas '
en formato hexadecimal y octal sin suerte: chr(0x27)
char(0x27)
chr(047)
ascii tables .
¿Es posible actualizar o insertar realmente en estas condiciones?