Mysql
 sql >> Datenbank >  >> RDS >> Mysql

Wie kann ich mein PHP-MySQL-Injection-Beispiel testen?

Eines der häufigsten Beispiele ist diese Abfrage:

' or '1'='1

Wenn Sie dies als Benutzername und Passwort in eine unsaubere Anmeldeeingabe eingeben, ändert sich die Abfrage wie folgt:

Original: SELECT * FROM USERS WHERE USER='' AND PASS='';
Modified: SELECT * FROM USERS WHERE USER='' or '1'='1' AND PASS='' or '1'='1';

Dies führt dazu, dass alles, wonach gesucht wird, wahr ist, da 1 immer gleich 1 ist. Das Problem bei dieser Methode ist, dass sie die Auswahl eines bestimmten Benutzers nicht zulässt. Dazu müssen Sie die AND-Anweisung ignorieren, indem Sie sie wie in anderen Beispielen auskommentieren.