sql >> Databasteknik >  >> RDS >> Mysql

Hur kan jag testa mitt PHP MySQL-injektionsexempel?

Ett av de vanligaste exemplen är denna fråga:

' or '1'='1

Om du anger detta som användarnamn och lösenord i någon osanifierad inloggningsingång ändras frågan så här:

Original: SELECT * FROM USERS WHERE USER='' AND PASS='';
Modified: SELECT * FROM USERS WHERE USER='' or '1'='1' AND PASS='' or '1'='1';

Detta gör att varje sak den letar efter är sann, eftersom 1 alltid är lika med 1. Problemet med den här metoden är att den inte tillåter valet av en viss användare. Om du gör det måste du få den att ignorera AND-satsen genom att kommentera den som sett i andra exempel.



  1. Använda Microsoft DiskSpd för att testa ditt lagringsundersystem

  2. Sammanfoga och gruppera flera rader i Oracle

  3. Hur lägger man till en auto-inkrementerande primärnyckel till en befintlig tabell, i PostgreSQL?

  4. Hur sorterar man en MYSQL-tabell på ett permanent sätt?