简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
PHP web应用当存在注入的情况下,如何写用户登录防止通过注入绕过登录
PHP中文网
PHP中文网 2017-04-11 09:41:24
0
4
504

PHP web应用当存在注入的情况下,如何写用户登录防止通过注入绕过登录

假设条件不可改,不要回答防止注入

一般的2中写法
·
1
$sql = "select * from user where user_name=$username and password=$password";
$res = $db_obj->get_one($sql);
if($res){
//登录成功
}
·
·
2
$sql = "select * from user where user_name=$username";
$res = $db_obj->get_one($sql);
if($res[password]==md5($password)){
//登录成功
}
·
以上2中均可绕过,求安全写法

PHP中文网
PHP中文网

认证高级PHP讲师

全部回复(4)
阿神
阿神2017-04-11 09:43:24 4 楼

既然已经存在注入漏洞,不仅登录可以绕过,连你的数据库都是不安全的。如果知道你的表结构,插入一个管理员帐号也是很简单的事。所以关键还是要防注入,而不是注入以后怎么办。

点赞 +0
添加回复
黄舟
黄舟2017-04-11 09:43:24 3 楼

最简单的
$sql = "select * from user where user_name='".addslashes($username)."'";

点赞 +0
添加回复
刘奇
刘奇2017-04-11 09:43:24 2 楼

一般的写法难道不是使用 orm 读写数据库?
手写 sql,本身就不安全

点赞 +0
添加回复
刘奇
刘奇2017-04-11 09:43:24 1 楼

使用PDO预处理语句

点赞 +0
添加回复
热门专题
更多>
热门文章
热门教程
更多>
相关教程
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责声明 Sitemap
PHP中文网:公益在线PHP培训,帮助PHP学习者快速成长!