在网页中查询SQL注入

这个问题在这里已经有了答案:

  • 来自“Bobby Tables”XKCD漫画的SQL注入是如何工作的? 12个答案

  • 您显然将参数替换为您的SQL字符串而不会转义它们。 代码大概看起来像这样:

    $sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
    

    所以在您的输入被替换之后,结果是:

    SELECT * FROM users WHERE username = 'abs' --' AND password = ''
    

    您输入的用户名中的报价正在终止字符串。 然后--开始评论,所以查询的其余部分将被忽略。 所以你已经将查询转换为:

    SELECT * FROM users WHERE username = 'abs'
    

    并不再检查密码。

    链接地址: http://www.djcxy.com/p/93825.html

    上一篇: Query about SQL Injection in webpages

    下一篇: Testing for SQL injection but resulting in error?