尝试演示 SQL 注入

Trying to show a demo on SQL Injection

我正在尝试展示 SQL 注入的演示,但似乎不起作用。我试图用这个截断一个 table 命名的演示:"SELECT * FROM products WHERE booktitle like '%'Songs'; TRUNCATE TABLE demo --%'" 但没有用。

我正在使用 MySQL 和 Nodejs,这里是代码:

app.post("/api/productsearch", (req, res) => {
    db.query(`SELECT * FROM products WHERE booktitle like '%${req.body.searchData.booktitle}%'`, (err, result) => {
        if (err) {
            console.log(err);
        } else {
            res.json(result);
        }
    }
    )
})

如何在 productsearch api 上进行 SQL 注入?非常感谢,非常感谢任何帮助。谢谢

如果您将 booktitle 输入为 '; TRUNCATE TABLE demo -- ,则结果 SQL 语句为

SELECT * FROM products WHERE booktitle like '%'; TRUNCATE TABLE demo -- %'