В простейшем примере была возможность встроить код в конец SQL-запроса. На практике в конце SQL-запроса могут быть дополнительные условия, операторы сортировки, группировки и другие SQL-конструкции. В каждом конкретном случае, злоумышленник постарается встроить вредоносный кусок таким образом, чтобы запрос в целом остался синтаксически корректным, но выболнял другую функцию. Здесь мы рассмотрим простейший пример уязвимого запроса с дополнительным условием.
$sql = "SELECT username, realname FROM users WHERE cityid='" . $_GET['cityid'] . "' AND age<'35'";
В этом случае, злоумышленник может нейтрализовать дополнительное условия, передав в качестве параметра cityid 20' UNION SELECT username, password AS realname FROM users WHERE 1 OR '1, что приведет с формированию следующего запроса:
SELECT username, realname FROM users WHERE cityid='20' UNION SELECT username, password AS realname FROM users WHERE 1 OR '1' AND age<'35'
В результате условие age<35 не будет влиять на выборку, т.к. оператор OR имеет более низкий приоритет, чем AND, и WHERE из приведённого выше запроса по-другому можно записать в виде WHERE(cityid='20' AND 1) OR ('1' AND
age<'35') (напомним, что выражение WHERE 1 истинно всегда). В результате под условие подойдут и те строки, у которых cityid='20', и те, у которых age<35, причем наличие последних не обязательно.
В случае сложных запросов успешные SQL-иъекции требуют некоторой изобретательности, но можно ожидать, что у злоумышленников она имеется.
