高手进 sql注入失败!

myl315824 2012-10-11 08:43:42
自己写的登陆,测试sql注入,在数据库测试可以,但在这老是失败,求指教!
login.php

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>登陆界面-SQl注入测试</title>
</head>

<body>
<form method="post" name="form1" action="loginCl.php">
<table>
<tr><td>用户名:</td><td><input type="text" name="username"/></td></tr>
<tr><td>密  码:</td><td><input type="password" name="password"/></td></tr>
<tr><td><input type="submit" value="登陆"/></td><td><input type="reset" value="重置"/></td></tr>

</table>
</form>
</body>
</html>



loginCl.php

<?php

$username = $_REQUEST['username'];
$password = $_REQUEST['password'];


$conn=mysql_connect('localhost','root','315824');
if(!$conn){
echo "数据库连接失败".mysql_error();
}

mysql_select_db('test',$conn);

$sql="select * from users where username='$username' and password='$password'";

$res=mysql_query($sql,$conn);

if( mysql_num_rows($res) != 0 ){
header("location:manageCenter.php");
}else{
echo "用户名或密码错误,<a href='login.php'>重新登陆</a>";

}


?>


manageCenter.php

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>管理中心</title>
</head>

<body>
欢迎管理员,管理中心!
</body>
</html>


在数据库用万能密码注入 Select * from users where username='sean' and password='cuwumima' or 1='1';
可以成功,但是在登陆密码输cuwumima' or 1='1 不能成功! loginCl.php接收到的password变成这样了cuwumima\' or 1=\'1 请问怎样解决!先谢谢啦!
...全文
502 13 打赏 收藏 转发到动态 举报
写回复
用AI写文章
13 条回复
切换为时间正序
请发表友善的回复…
发表回复
q503959 2012-10-11
  • 打赏
  • 举报
回复
ci1699正解
打印个phpinfo出来
找到php.ini的路径,去那里找[Quote=引用 6 楼 的回复:]

引用 3 楼 的回复:

引用 2 楼 的回复:
magic_quotes_gpc和magic_quotes_runtime,这两个函数在php.ini设置为ON试试。。。。。
打错。。。是关掉试试

不管设置成On还是Off 重启服务器之后都没用,肿么办呢?
[/Quote]
MrCeffoo 2012-10-11
  • 打赏
  • 举报
回复
楼主教教我怎么注入吧
ci1699 2012-10-11
  • 打赏
  • 举报
回复
那就是说明你没关掉环境过滤。。
phpinfo() 看php.ini的路径看有没有改对地方。

配置是 magic_quotes_gpc

get_magic_quotes_gpc()这是php函数
myl315824 2012-10-11
  • 打赏
  • 举报
回复
[Quote=引用 7 楼 的回复:]

引用 5 楼 的回复:

让那个坏人ci1699 教你...

newnew..

。。。。

是过滤还没关掉吧。
if(get_magic_quotes_gpc())
{
echo 'Y';
}
else
{
echo 'N';
}

测试下看输出什么。。。。。。。
[/Quote]
O(∩_∩)O哈哈~ 谢谢!输出Y 不过我在php.ini中没找到get_magic_quotes_gpc(), 我用的是集成环境phpnow,是不是因为这个关系呢?
ci1699 2012-10-11
  • 打赏
  • 举报
回复
[Quote=引用 5 楼 的回复:]

让那个坏人ci1699 教你...
[/Quote]
newnew..

。。。。

是过滤还没关掉吧。
if(get_magic_quotes_gpc())
{
echo 'Y';
}
else
{
echo 'N';
}

测试下看输出什么。。。。。。。
myl315824 2012-10-11
  • 打赏
  • 举报
回复
[Quote=引用 3 楼 的回复:]

引用 2 楼 的回复:
magic_quotes_gpc和magic_quotes_runtime,这两个函数在php.ini设置为ON试试。。。。。
打错。。。是关掉试试
[/Quote]
不管设置成On还是Off 重启服务器之后都没用,肿么办呢?
黄袍披身 2012-10-11
  • 打赏
  • 举报
回复
让那个坏人ci1699 教你...
myl315824 2012-10-11
  • 打赏
  • 举报
回复
[Quote=引用 1 楼 的回复:]

magic_quotes_gpc检查一下,看看是不是被设置成on了!
[/Quote]
嗯 本来是On 不过该成Off还是不行啊 还是转成cuwumima\' or 1=\'1
q503959 2012-10-11
  • 打赏
  • 举报
回复
[Quote=引用 2 楼 的回复:]
magic_quotes_gpc和magic_quotes_runtime,这两个函数在php.ini设置为ON试试。。。。。
[/Quote]打错。。。是关掉试试
q503959 2012-10-11
  • 打赏
  • 举报
回复
magic_quotes_gpc和magic_quotes_runtime,这两个函数在php.ini设置为ON试试。。。。。
木目子 2012-10-11
  • 打赏
  • 举报
回复
magic_quotes_gpc检查一下,看看是不是被设置成on了!
myl315824 2012-10-11
  • 打赏
  • 举报
回复
谢谢大家!O(∩_∩)O哈哈~
myl315824 2012-10-11
  • 打赏
  • 举报
回复
[Quote=引用 9 楼 的回复:]

那就是说明你没关掉环境过滤。。
phpinfo() 看php.ini的路径看有没有改对地方。

配置是 magic_quotes_gpc

get_magic_quotes_gpc()这是php函数
[/Quote]
O(∩_∩)O哈哈~ 谢谢蛤!

21,889

社区成员

发帖
与我相关
我的任务
社区描述
从PHP安装配置,PHP入门,PHP基础到PHP应用
社区管理员
  • 基础编程社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧