那些遇到过的问题

SQL准备语句(PHP)

cad*_*ebe 5 php mysql

我试图了解SQL注入如何工作,以及如何防止它.HTML登录页面包含一个表格,一个表格,一个用户名和密码字段,以及一个提交按钮.与mySQL数据库一起使用的PHP代码如下所示:

$conn = mysqli_connect($Host, $User, $Password, $DbName);
if (!$conn) {
 echo "Database connection error.";
 exit;
}
$query = "SELECT user_name, password from visitors where user_name = '".$_POST['user_name']."';";
$result = mysqli_query($conn, $query);
$row = mysqli_fetch_assoc($result);
$user_pass = md5($_POST['pass_word']);
$user_name = $row['user_name'];
if(strcmp($user_pass,$row['password']) != 0) {
 echo "Login failed";
}
Run Code Online (Sandbox Code Playgroud)

为了防止SQL注入攻击,我试图实现准备好的语句,看看W3S网站和其他人.我想我需要更换

$query="SELECT user_name, password from visitors where user_name='".$_POST['user_name']."';";
Run Code Online (Sandbox Code Playgroud)

用这样的东西:

$stmt = $conn->prepare("SELECT user_name, password from visitors where  user_name= ?");
if ($stmt->execute(array($_GET[‘user_name’]))) {
  while ($row = $stmt->fetch()) {
    $user_name = $row;
  }
}
Run Code Online (Sandbox Code Playgroud)

我不确定修正案的有效性.此外,为了测试系统的漏洞是否已得到解决,我如何能够通过原始的,未经修改的代码访问系统?我试过了:

username: admin
password: ‘ or ‘1’=’1’ (and a number of other options too)
Run Code Online (Sandbox Code Playgroud)

man*_*niL 1

防止一阶、二阶和三阶注入的最佳方法是,我建议您使用 PDO 以及准备好的语句,同时使用正确的字符集并禁用“模拟准备语句”。有关 SQL 注入如何工作以及 PDO 如何阻止它的更多信息可以在此处找到

归档时间:

查看次数:

122 次

最近记录:

10 年,8 月 前
如何在PHP中阻止SQL注入? 2776
PDO准备好的语句是否足以阻止SQL注入? 631
更多相关链接
相关归档
MySQL查询GROUP BY日/月/年 609
是否有可能在PHP中重载运算符? 62
如何删除非空目录? 44
如何在PHP中重定向到同一页面 32
如何使用PHP删除包含内容的文件夹 28
完美的肥皂(Wsdl)web服务在PHP中 24
Phpunit,如何测试方法是否"无"? 20
监视mysql上使用的连接以调试"太多连接" 18
C3P0是线程安全的吗? 12
无法更新记录,卡住了 12
难疑归档
如何修改现有的,未删除的提交? 7669
在'for'循环中访问索引? 3312
jQuery是否存在"存在"功能? 2669
在jQuery中添加表行 2331
如何从Bash脚本检查程序是否存在? 2032
为什么Java有瞬态字段? 1406
我在哪里将'assets'文件夹放在Android Studio中? 1366
如何使用Sublime Text 2重新格式化HTML代码? 1282
哪个MySQL数据类型用于存储布尔值 1168
群集和非群集索引实际上意味着什么? 1041