$query = " $sql = select * from users where id = '$id' "
¿ $id=3' OR '1'='1 no interrumpirá la consulta?
La duda surgió porque alguien afirmó que no se puede romper.
$query = " $sql = select * from users where id = '$id' "
¿ $id=3' OR '1'='1 no interrumpirá la consulta?
La duda surgió porque alguien afirmó que no se puede romper.
El nivel alto está destinado a ser la implementación segura y debería ser inquebrantable.
Mirando el código fuente puede ver que hay verificación de que $id es un número.
if (is_numeric($id)){
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
Por lo tanto, no es posible cambiar el parámetro id a nada que rompa el parámetro desde el contexto del valor de los datos y dentro del contexto de la consulta.
Lea otras preguntas en las etiquetas sql-injection dvwa