个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
27
4
我试图证明在 PHP 中准备语句的必要性,但我遇到了一点问题,因为 PHP 使用通过表单传递的字符串做了一些很奇怪的事情。
我试图“打破”的陈述很简单:
SELECT username FROM users WHERE username = '$username' AND password = '$password'
但是为密码传递 X' 或 TRUE;-- 之类的操作实际上不起作用,因为 PHP 会自动转义单引号并将语句转换为:
SELECT username FROM users WHERE username = '$username' AND password = 'X\' or TRUE;--'
并且由于转义单引号,密码相等性保持不变。这个陈述被认为是安全的吗?不然怎么破?
最佳答案
听起来您好像启用了魔术引号。我绝对不会认为该声明是安全的,因为如果您将其移动到运行 PHP 5.4 的服务器上,它将完全容易受到攻击。魔术引号长期以来一直是一个被弃用的功能,它会扰乱应用程序的其他部分,所以不要依赖它。
为了演示,只需在 php.ini 中设置 magic_quotes_gpc = Off。
关于php - PHP 表单的 SQL 注入(inject)威胁?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10767954/
27
4
0
过去我们多次收到有关 Java 威胁的警告,我们不得不升级,有时甚至摆脱 Java。 现在我正在考虑为 Android 设备开发,我发现它与 Java 密切相关。 我的问题:Java 威胁对 Andr
当我尝试访问应用程序的某些部分时,我的应用程序显示此错误。此外,当我尝试在 iPhone 6s 模拟器上运行它时,它不会显示此错误,但在所有其他模拟器上都会显示该错误 我使用 Firebase 作为后
来自 OAuth 2.0 Threat Model and Security Considerations draft : 4.4.1.13. Threat: Code substitution (O
我试图证明在 PHP 中准备语句的必要性,但我遇到了一点问题,因为 PHP 使用通过表单传递的字符串做了一些很奇怪的事情。 我试图“打破”的陈述很简单: SELECT username FROM us
我确实计划将数据库从 5.1 版迁移到 5.6 版。我想通过使用 mysqldump 来做到这一点: 将数据从 MySQL DB 5.1 导出(通过 mysqldump)到 sql 文件, 导入(通过
我有目的地(为了测试)在 WebMatrix C# 中分配了以下变量: string val = "alert('XSS Vector')"; 在页面的后面,我使用 razor 将该值直接写入页面。
为了拥有一个 URL 友好的应用程序,我正在存储它的上下文在 URL 中有一个 JSON,它给出类似的东西: http://mysite.dev/myapppage/target#?context={
用户正在向我们的 React 应用程序提供一个字符串,并且它正在显示给其他用户。我想搜索一些字符,并用一些 HTML 替换它们,就像我要搜索“特殊”这个词一样,我会将其变成: My special w
我是一名优秀的程序员,十分优秀!