21,886
社区成员
发帖
与我相关
我的任务
分享已知PHP验证代码如下,Sql注入应该怎么写
" WHERE user_name = '" . $_POST['username']. "' AND password = '" . md5($_POST['password']) . "'";
这段就是网站验证代码,SQL注入应该怎么写
这段就是网站验证代码,SQL注入应该怎么写
...全文
请发表友善的回复…
发表回复
edgesun 2012-08-26
- 打赏
- 举报
明白了,谢谢楼上两位。
edgesun 2012-08-26
- 打赏
- 举报
明白了,谢谢楼上两位。
黄袍披身 2012-08-26
- 打赏
- 举报
mysql_real_escape_string
htmlspecialchars
[Quote=引用 3 楼 的回复:]
借宝地,请教各位大虾个问题:
SQL防注入,我是直接把$_GET、$_POST获取的数据给去空格,请问这样做还会被注入吗?
前提:用户名和密码不允许存在空格
[/Quote]
baoxiaohua 2012-08-26
- 打赏
- 举报
[Quote=引用 3 楼 的回复:]
借宝地,请教各位大虾个问题:
SQL防注入,我是直接把$_GET、$_POST获取的数据给去空格,请问这样做还会被注入吗?
前提:用户名和密码不允许存在空格
[/Quote]
主要是输入的字符有没有转义或者被过滤
借宝地,请教各位大虾个问题:
SQL防注入,我是直接把$_GET、$_POST获取的数据给去空格,请问这样做还会被注入吗?
前提:用户名和密码不允许存在空格
[/Quote]
主要是输入的字符有没有转义或者被过滤
edgesun 2012-08-26
- 打赏
- 举报
借宝地,请教各位大虾个问题:
SQL防注入,我是直接把$_GET、$_POST获取的数据给去空格,请问这样做还会被注入吗?
前提:用户名和密码不允许存在空格
SQL防注入,我是直接把$_GET、$_POST获取的数据给去空格,请问这样做还会被注入吗?
前提:用户名和密码不允许存在空格
风.foxwho 2012-08-26
- 打赏
- 举报
function check_input($value) {
// 去除斜杠
if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}
// 如果不是数字则加引号
if (!is_numeric($value)) {
$value =mysql_real_escape_string($value);
}
return $value;
}
$n=check_input($_POST['username']);
$p=md5($_POST['password']);
" WHERE user_name = '$n' AND password = '$p'";
xuzuning 2012-08-26
- 打赏
- 举报
如果未对“'”转义,则
$_POST['username'] = "' or 1 #"
$_POST['username'] = "' or 1 #"
