在网页中查询SQL注入
这个问题在这里已经有了答案:
您显然将参数替换为您的SQL字符串而不会转义它们。 代码大概看起来像这样:
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
所以在您的输入被替换之后,结果是:
SELECT * FROM users WHERE username = 'abs' --' AND password = ''
您输入的用户名中的报价正在终止字符串。 然后--
开始评论,所以查询的其余部分将被忽略。 所以你已经将查询转换为:
SELECT * FROM users WHERE username = 'abs'
并不再检查密码。
链接地址: http://www.djcxy.com/p/93825.html