Hola,
Estoy intentando reproducir en mi maquina una vulnerabilidad sql injection tipica:
Citar$foo = @$_GET["foo"];
$result = $mysqli->query("SELECT * FROM `table` WHERE `user` = '$foo' ");
El problema es que mysqli o php automaticamente escapa las comillas simples
ej:
Citar`user` = '\'aaa'
Es normal que haga esto aunque no utilize real_escape_string?
Gracias
EDITO: no es cosa de mysqli sino del GET que parece que utiliza alguna función de filtrado. Es esto lo común? Es el fin de las inyecciones SQL?
Seguramente tu php esté configurado con
magic_quotes_gpc=onCitar
Cita de php.net:
Magic Quotes is a process that automagically escapes incoming data to the PHP script. It's preferred to code with magic quotes off and to instead escape the data at runtime, as needed.
La solución es que para probar desactives esta directiva en el php.ini
Saludos!