作者sder (sder)
看板PHP
標題Re: [請益] php網頁會員登入問題
時間Mon Aug 11 22:57:22 2008
以上程式碼略…
$link=mysql_connect("localhost","sosokill","sosokill");
mysql_select_db("member");
$sql="SELECT *FROM membertest WHERE ID='".$ID."' AND
Password='".$Password."'";
$result=mysql_query($sql);
//一般認證只會這樣寫
//你加的重覆判斷帳號密碼,或許就是不會SQL Injection的原因@@
if(mysql_num_rows($result) >= 1) {
// $Fields=mysql_fetch_array($result);
// if($Fields["ID"]==$ID && $Fields["Password"]==$Password){
$_SESSION["login_session"]=true;
header("location:hello.php");
}else
echo "<br>Password error<br>";
mysql_close($link);
}
以下程式碼略…
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.105.218.138
→ sosokill :有試過 可以正常登入 但是用 'or1=1--還是不能 08/11 23:10
→ sosokill :會是'".$ID."'這邊的"或'的問題嗎? 08/11 23:11
→ sder :php.ini的magic_quotes_gpc 有關嗎? 08/11 23:14
→ sosokill :有 有檢查過了 OFF的狀態 08/11 23:21
→ sder :帳號密碼都輸入 ' OR ''=' 試試 08/11 23:26
→ sder :或帳號輸入 ' OR 1;/* 密碼隨便 08/11 23:27
→ sosokill :都不行 囧 08/11 23:39