1 遍歷所有資料庫內容, 并列出,
select user from users where user id = 1 or 1 = 1;
dvwa測驗如下:
2 實戰演示
2.1在我們搭建的網站中,輸入用戶名admin' 發現可以被帶到后臺資料庫中執行,并產生以下報錯資訊
- 'user_id='admin'' And password='122223''將其修改為一條符合資料庫邏輯的執行陳述句
- 'user_id='隨意寫' And password=''or''='' #這條陳述句表示無論前面的正確與否,后面的''=''永遠為真
在用戶名中隨意填寫,密碼輸入 'or''=' 就實作了后臺的登錄,我們構造了一個特殊的引數,是原有的查詢賬號的邏輯發生錯誤,繞過認證登錄系統,相當于構造了這樣一條SQL陳述句:
select user,password from user where user_id = '隨意寫' and password=''or''=''
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/40989.html
標籤:其他
上一篇:CMake生成VS2012工程報錯 error MSB6006: “cmd.exe”已退出,代碼為 -1073741819
下一篇:求助:OGRE原始碼編譯失敗