检测用户登录是账号密码是否匹配,可以通过判断字符串是否相等的方式。那如何突破这样的登录限制?
<code>php</code><code><?php $pw = "password";
$get = "password";
if($pw <> $get) {
echo "login fail.";
} else {
echo "login succeed.";
}
</code>检测用户登录是账号密码是否匹配,可以通过判断字符串是否相等的方式。那如何突破这样的登录限制?
<code>php</code><code><?php $pw = "password";
$get = "password";
if($pw <> $get) {
echo "login fail.";
} else {
echo "login succeed.";
}
</code>
除非去暴力破解,或者侵入数据库直接修改数据。
通過記錄判斷相等所需要的時間,可以逐位確定密碼。
所以,下次請改用常數時間的相等比較算法。
![[Web front-end] Node.js quick start](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
