Wenn es eine Injektion in einer PHP-Webanwendung gibt, wie schreibe ich die Benutzeranmeldung, um zu verhindern, dass die Anmeldung durch Injektion umgangen wird?
Vorausgesetzt, die Bedingungen können nicht geändert werden, antworten Sie nicht, um eine Injektion zu verhindern
Allgemeines 2-Wege-Schreiben
·
1
$sql = "select * from user where user_name=$username and password=$password";
$res = $db_obj-> get_one($sql);
if($res){
//Anmeldung erfolgreich
}
·
·
2
$sql = "select * from user where user_name=$username";
$res = $db_obj->get_one($sql);
if($res[password]==md5($password)){
//Anmeldung erfolgreich
}
·
Beide der oben genannten 2 können umgangen werden, bitte schreiben Sie auf sichere Weise
Wenn es eine Injektion in einer PHP-Webanwendung gibt, wie schreibe ich die Benutzeranmeldung, um zu verhindern, dass die Anmeldung durch Injektion umgangen wird?
Vorausgesetzt, die Bedingungen können nicht geändert werden, antworten Sie nicht, um eine Injektion zu verhindern
Allgemeines 2-Wege-Schreiben
·
1
$sql = "select * from user where user_name=$username and password=$password";
$res = $db_obj-> get_one($sql);
if($res){
//Anmeldung erfolgreich
}
·
·
2
$sql = "select * from user where user_name=$username";
$res = $db_obj->get_one($sql);
if($res[password]==md5($password)){
//Anmeldung erfolgreich
}
·
Beide der oben genannten 2 können umgangen werden, bitte schreiben Sie auf sichere Weise
Da eine Injektionsschwachstelle vorliegt, kann nicht nur die Anmeldung umgangen werden, sondern auch Ihre Datenbank ist unsicher. Wenn Sie Ihre Tabellenstruktur kennen, ist das Einfügen eines Administratorkontos auch sehr einfach. Der Schlüssel liegt also darin, eine Injektion zu verhindern, und nicht darin, was nach der Injektion zu tun ist.
Das einfachste
$sql = "select * from user where user_name='".addslashes($username)."'";
Verwendet die allgemeine Schreibweise nicht orm zum Lesen und Schreiben der Datenbank?
Handgeschriebenes SQL ist von Natur aus unsicher
Verwenden Sie vorbereitete PDO-Anweisungen
So öffnen Sie eine PHP-Datei
So entfernen Sie die ersten paar Elemente eines Arrays in PHP
Was tun, wenn die PHP-Deserialisierung fehlschlägt?
So verbinden Sie PHP mit der MSSQL-Datenbank
So verbinden Sie PHP mit der MSSQL-Datenbank
So laden Sie HTML hoch
So lösen Sie verstümmelte Zeichen in PHP
So öffnen Sie PHP-Dateien auf einem Mobiltelefon
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
