作者ybite (小犬)
看板PHP
標題Re: [請益] php網頁會員登入問題
時間Mon Aug 11 23:39:02 2008
※ 引述《sder (sder)》之銘言:
: 以上程式碼略…
: $link=mysql_connect("localhost","sosokill","sosokill");
: mysql_select_db("member");
: $sql="SELECT *FROM membertest WHERE ID='".$ID."' AND
: Password='".$Password."'";
: $result=mysql_query($sql);
: //一般認證只會這樣寫
: //你加的重覆判斷帳號密碼,或許就是不會SQL Injection的原因@@
: if(mysql_num_rows($result) >= 1) {
: // $Fields=mysql_fetch_array($result);
: // if($Fields["ID"]==$ID && $Fields["Password"]==$Password){
: $_SESSION["login_session"]=true;
: header("location:hello.php");
: }else
: echo "<br>Password error<br>";
: mysql_close($link);
: }
: 以下程式碼略…
首先我搞錯了 囧 為了致歉多試幾種
再來試過發現,除了上篇推文裡面,應該這些都有辦法在上面的code work
帳號正常,密碼 'OR 1# (#也是註解符號)
帳號 abc /* ,密碼 */' OR 1# (這個玩得有點大)
帳號 ' OR 1#,密碼隨便
不用任何註解的方法
帳號:' OR '' = '
密碼:' OR '' = '
我覺得真的很囧,最近經常看錯文章... = =
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.199.119
※ 編輯: ybite 來自: 140.112.199.119 (08/11 23:40)
→ sosokill :囧 怎麼還事都不行ˊˋ 08/11 23:40
→ ybite :可以echo出你的$sql嗎? 08/11 23:41
→ ybite :你用sqer的方法改了嗎? 08/11 23:41
→ ybite : ↑sder = = 08/11 23:41
→ sosokill :改了啊~我重新把我現在的code放上來好了 08/11 23:43