İt已经有一段时间了,我一直在尝试通过各种教程破解我自己的登录表单。这些方法都不适合我。这让我想到,如果通过下载Xampp,我也下载了某种保护。İs是真的吗?下面是一行代码:
$cdquery = "SELECT name, surname, password, active FROM searcheng.try WHERE name='".$_POST['namen']."' AND password ='".$_POST['passworden']."' AND active = 1";
我尝试的一些注射是:
' OR '1'='1
' OR 1=1 --
'"; #
然而,似乎没有任何工作,因为它要么返回空白,一个错误
(检查对应于你的MySQL服务器版本的正确语法使用附近的'a'和active = 1'在第1行)
或者"帐户尚未激活",我把安全检查放在另一段代码上:
if ($rows=mysql_fetch_assoc($cdresult)) {
while ($rows=mysql_fetch_assoc($cdresult)) {
echo $rows['name'];
echo $rows['surname'];
echo $rows['password'];
}
} else {
echo "Account hasn't been activated";
}
另外,我如何在数据库中存储这些函数?非常感谢!
号如果通过下载Xampp,我也下载了某种保护。İs是真的吗?
返回一个错误(检查与MySQL服务器版本对应的手册以获得正确的语法)
这意味着你打了一针。
你必须明白,注入是一回事,成功利用是另一回事。注入仅仅意味着有可能注入一些代码。因此,您已经知道代码注入产生了语法错误。如果你想利用它,你必须学习SQL。