Olá Vinicius. Estou a tentar simular o ataque de SQL Injection no meu pc baseado nesta aula, mas sem sucesso. No código tenho: $title = filter_var($POST["title"], FILTERSANITIZE_STRING); $body = $POST["body"]; $author = $POST["author"]; $sql = "insert into posts(title, body, author) values('$title', '$body', '$author')"; $pdo->exec($sql);
E no meu form mando para o campo title insiro: andre', ''); drop table posts; --gp
O resultado final é que grava no banco como: andre', ''); drop table posts; --gp
Qual é a explicação para isso?
Obrigado