34,593
社区成员
发帖
与我相关
我的任务
分享求几个SQL注入的简单例子。
sql语句均要进行安全过滤。
a)所有传入的sql语句的非数据内容必须是在服务器端生成的,在任何情况下都不能用客户端输入的内容。
b)所有传入的数值类型的数据均要强制转换为数值。
c)所有传入的字符类型数据均要进行引号过滤。
三种类型都想要一个小例子。
组长叫我自己写一下,看了这方面的资料,迷迷糊糊的。
get_magic_quotes_gpc = Off;
以下是我尝试 xxx' or '1'='1 的PHP工作页面
谢谢!
a)所有传入的sql语句的非数据内容必须是在服务器端生成的,在任何情况下都不能用客户端输入的内容。
b)所有传入的数值类型的数据均要强制转换为数值。
c)所有传入的字符类型数据均要进行引号过滤。
三种类型都想要一个小例子。
组长叫我自己写一下,看了这方面的资料,迷迷糊糊的。
get_magic_quotes_gpc = Off;
以下是我尝试 xxx' or '1'='1 的PHP工作页面
<?php
if($_POST){
$mysql_server = 'localhost';
$mysql_username = 'root';
$mysql_password = 'root';
$mysql_database = 'test';
$name = $_POST['name'];
$query = "Select * FROM user Where name='".$name."'";
echo $query.'<br />';
$conn = mysql_connect($mysql_server, $mysql_username, $mysql_password);
mysql_select_db($mysql_database,$conn);
$result = mysql_query($query);
if(mysql_num_rows($result)!=0){
echo '<script>alert("用户名正确!");</script>';
}else{
echo '<script>alert("用户名错误!");</script>';
}
}
?>
<form action="" method="post">
name:<input type="text" name="name" size="30" />
<input type="submit" value="Submit" />
</form>
谢谢!
...全文
请发表友善的回复…
发表回复
