communauté Apprendre Bibliothèque d'outils Loisirs
recherche
Français
Maison > développement back-end > tutoriel php > le corps du texte

关于sql注入的请问

WBOY
Libérer: 2016-06-13 10:52:48
original
802 Les gens l'ont consulté

关于sql注入的请教
刚才看了这个帖子
http://topic.csdn.net/u/20121011/08/ed0d9538-0ed1-49c4-95c3-0fc1ef686aa2.html

他的登录代码是这样的:

PHP code
<!--Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->$username = $_REQUEST['username'];$password = $_REQUEST['password'];$sql="select * from users where username='$username' and password='$password'";
Copier après la connexion

后来根据他的方法,在知道用户名的情况下确实可以绕过密码提交登录成功。

不过他的方法首要先满足get_magic_quotes_gpc过滤关闭的情况下,这是基础条件。

然后他的登录代码似乎太落后了,现在的密码一般都是用md5加密一下,比如我的登录验证一般是这样写的:
PHP code
<!--Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->$username = $_REQUEST['username'];$password = md5($_REQUEST['password']);//改了这行$sql="select * from users where username='$username' and password='$password'";
Copier après la connexion

这样提交表单得到的$sql就成了:
Select * from users where username='sean' and password='7e2705cbd698f255b7fe11eff40de898'


像这种情况应该怎么注入呢?

------解决方案--------------------
不是还有 $username 吗?干嘛非要是 $password

只要 magic_quotes_gpc = on 这些小儿科的攻击立即失效
Étiquettes associées:
quot request select
source:php.cn
Article précédent:php动态菜单解决方法 Article suivant:php mail()解决方法
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Derniers numéros
Calculer la somme des champs dans une autre table à l'aide d'une requête MySQL SQL J'ai un schéma comme celui-ci : Table utilisateur avec les attributs "user_id" e...
Depuis 2024-04-06 19:39:29
0
1
441
Comparez les lignes CSV en php J'ai le code suivant qui me permet de générer un fichier csv à partir d'une base de donnée...
Depuis 2024-04-04 13:57:04
0
1
355
Comment écrire un déclencheur d'insertion MySql basé sur la valeur des données insérées ? Je souhaite écrire un déclencheur pour les utilisateurs de table. Lorsqu'un nouvel utilisa...
Depuis 2024-04-03 16:42:38
0
1
278
ajouter une image jpg de MySQL vers HTML En guise de préface, je suis très nouveau dans ce domaine, donc cela pourrait être une que...
Depuis 2024-04-02 13:27:34
0
1
344
Fonction à exécuter avant la fin de useEffect J'ai ce code : constChatsPage=()=>{letusername=""letssecret=""useEf...
Depuis 2024-04-01 23:34:29
0
1
345
Rubriques connexes
Plus>
Recommandations populaires
Tutoriels populaires
Plus>
Tutoriels associés
Recommandations populaires
Derniers cours
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal