28,406
社区成员
发帖
与我相关
我的任务
分享有谁知道asp中的万能密码吗,我必须屏蔽掉呀
以前看过一篇文章,说的是输入一个什么字符串就能绕过登录系统?
现在开发了一个系统,却忘记了具体是个什么回事,请告知,谢谢!
现在开发了一个系统,却忘记了具体是个什么回事,请告知,谢谢!
...全文
请发表友善的回复…
发表回复
lovebanyi 2005-05-20
- 打赏
- 举报
'or''='
cswinter 2005-05-20
- 打赏
- 举报
其实就是杜绝可能构造这些sql查询的一些特殊符号。
cswinter 2005-05-20
- 打赏
- 举报
还有是'or''='
如sql是"select id from user where username='"&username&"' and userpass='"&userpass&"' order by id desc"
构造后的就是
"select id from user where username=''or''='' and userpass=''or''='' order by id desc"
我们都知道 “空”=“空”
是永远成立的咯。
如sql是"select id from user where username='"&username&"' and userpass='"&userpass&"' order by id desc"
构造后的就是
"select id from user where username=''or''='' and userpass=''or''='' order by id desc"
我们都知道 “空”=“空”
是永远成立的咯。
x1234521 2005-05-20
- 打赏
- 举报
应该是SQL注入
如:
如果你的登陆检验的SQL是这样的写的,
sql="select * form user where username='"&request.form("username")&"' and pwd='"&request.form("pwd")&"'"
那么就可以这样构造
在用户名和密码的框中输入"1' or 1=1 or 1='"
这样构造之后就变成了username='1' or 1=1 or 1='' and pwd='1' or 1=1 or 1=''
那这样就永远为真,就是饶过了验证,你自己琢磨下,然后看着写你的代码就行了
如:
如果你的登陆检验的SQL是这样的写的,
sql="select * form user where username='"&request.form("username")&"' and pwd='"&request.form("pwd")&"'"
那么就可以这样构造
在用户名和密码的框中输入"1' or 1=1 or 1='"
这样构造之后就变成了username='1' or 1=1 or 1='' and pwd='1' or 1=1 or 1=''
那这样就永远为真,就是饶过了验证,你自己琢磨下,然后看着写你的代码就行了
goodstuday 2005-05-20
- 打赏
- 举报
是sql注入,把特殊字符屏蔽掉就是了,另外验证时,不要把用户名和密码同时放在sql语句里,可以先判断用户名是否存在,然后再读取数据库中该用户名的密码与客户提交的密码比较
尚和空四 2005-05-20
- 打赏
- 举报
' 1 = 1 ' or '2 = 2 '
Zerolone 2005-05-20
- 打赏
- 举报
那是不是注入式漏洞?
chcpu 2005-05-20
- 打赏
- 举报
谢谢大家
