Това конкретно инжектиране няма да работи след mysql_query
на PHP функцията позволява само една заявка на повикване. Въпреки това, следното може да работи, ако column
има първичен или уникален ключ:
$unsafe_variable = "admin') ON DUPLICATE KEY UPDATE password=MD5(CONCAT('knownsalt', 'newpassword'))#";
По-добре да използвате дългия mysql_real_escape_string
функция:
$sql=sprintf("INSERT INTO table (column) VALUES(%s)",
mysql_real_escape_string($unsafe_variable));
mysql_query($sql);