作者u9555kimo ( 品 客)
看板PCCU-CS
标题Re: [废文] 有没有人记得
时间Wed Apr 23 22:57:44 2014
※ 引述《kobe6913 (勇往直前)》之铭言:
: 林金城网路攻防教的那个指令是什麽
: 我完全忘了XD
: 什麽1=1 什麽鬼
因为存取DB直接把SQL语法当字串包进去
例如登入会员的时候
SELECT * FROM 会员 WHERE id='"inputID"' and pw='"inputPW"';
id pw输入之後 就会把语法包起来送给SQL
SELECT * FROM 会员 WHERE id='u9555kimo' and pw='******';
就登入惹 阿斯~~~
所以如果很靠背的在id乱输入如 ' or 1=1;-- 就会变成
SELECT * FROM 会员 WHERE id='' or 1=1;-- and pw='******';
--是把後面注解掉的意思 所以包进去给SQL只会执行
SELECT * FROM 会员 WHERE id='' or 1=1;
只要让他恒成立...就又进去惹~~ 阿~~斯~~~~~
总之概念是这样 但语法不一定对
上一次用SQL大概是上陈祥辉的课的时候 (远目
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.250.170.172
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/PCCU-CS/M.1398265067.A.01C.html
1F:推 shin696:专业啥的~ 05/03 09:42
2F:推 small80307:我只看到阿~~~斯~~~ 06/01 23:21