万能密码的原理
时间:2016-11-27 14:44 来源:转载 作者:sn0w 点击:次
测试代码:
[PHP] 纯文本查看 复制代码
首先我们先看一下测试代码,首先可以看到的是参数并没有进行相关的过滤,肯定会产生注入,但是今天我们讨论的是万能密码的问题。 关于万能密码我们应该都知道,常见的万能密码包括:
[PHP] 纯文本查看 复制代码
[AppleScript] 纯文本查看 复制代码
但是当我们提交 【' or '1'='1】时,由于程序并没有对特殊字符进行过滤,将用户输入的直接带入查询,最后执行的SQL语句为:
[AppleScript] 纯文本查看 复制代码
这样SQL返回的值始终为1,就成功绕过了程序的验证。 关于修复:
[PHP] 纯文本查看 复制代码
以上代码对返回的数据与用户输入数据进行了比较验证,避免了万能密码的产生。 ------------------------------------------------------------------------------------------------ 一起学习,共同进步。 (责任编辑:蜗蜗侠) |