Wykonywanie MULTIPLE SQL nie jest domyślnie włączone.
Tak więc wstrzykiwanie SQL, takie jak ;drop table
nie zadziała. proszę włączyć wielokrotne wykonywanie sql. można to włączyć jak http://php.net/manual/ pl/mysqli.quickstart.multiple-statement.php
jeśli używasz mysqli.
przydatne wstrzykiwanie SQL to:
SELECT COUNT(*) FROM users
WHERE user_id = '$user_id' AND passwd = '$passwd'
i użytkownik wstawia passwd
do ' || '1' = '1
.