Ansluta till SQL-databas med php. Drop table-risk?

Jag lagrar en variabel($namn_input) från en textbox och kör sedan följande kod:

Om jag istället skriver i textboxen:
Så raderas INTE tabellen. Vilket är bra iofs, men det borde den ju göra?
Det lagras heller inte något i tabellen som också är konstigt.
Vad händer med detta query-kommandot egentligen?

Sitter med en användares anslutning som har alla rättigheter att göra detta.

Är det MySQL du går emot? Om, vilket klientbibliotek använder du?

MySQL, yes.
Databasens klientversion: libmysql - mysqlnd 5.0.11-dev - 20120503

Du svarar rätt, jag som ställer fel fråga

Vilket PHP-api (extension) använder du?

PHP-tillägg: mysqli
PHP-version: 5.6.16

Tänk på att du befinner dig i ett scope som måste avslutas med ') för att ett nytt kommando ska kunna initieras.

Fundera över injektioner i stil med
-- på slutet gör att resten av raden tolkas som en kommentar; se https://dev.mysql.com/doc/refman/5.7/en/comments.html

Du förhindrar lämpligen SQL-injektioner genom att använda prepared statements.

Queryn ser ut:

Med inmatningen: hmm'); drop table tabellnamn;--

Så Ger det:


Men tabellen raderas ändå inte....Samt att INGET lagras i tabellen i detta fallet.
Verkligen jättekonstigt...

I sådana fall antar jag att du ej tillåter flera statements att köras genom samma query-sträng. Är du säker på att du använder multi_query eller mysql_multi_query?

https://dev.mysql.com/doc/apis-php/e...statement.html
https://dev.mysql.com/doc/apis-php/e...lti-query.html