Mysql
 sql >> डेटाबेस >  >> RDS >> Mysql

मैं अपने PHP MySQL इंजेक्शन उदाहरण का परीक्षण कैसे कर सकता हूं?

सबसे आम उदाहरणों में से एक यह प्रश्न है:

' or '1'='1

यदि आप इसे यूज़रनेम और पासवर्ड के रूप में कुछ अस्वच्छ लॉगिन इनपुट में दर्ज करते हैं तो क्वेरी इस प्रकार बदल जाती है:

Original: SELECT * FROM USERS WHERE USER='' AND PASS='';
Modified: SELECT * FROM USERS WHERE USER='' or '1'='1' AND PASS='' or '1'='1';

यह प्रत्येक चीज़ को सत्य होने का कारण बनता है, क्योंकि 1 हमेशा बराबर होगा। इस पद्धति के साथ समस्या यह है कि यह किसी विशेष उपयोगकर्ता के चयन की अनुमति नहीं देता है। ऐसा करने के लिए आपको अन्य उदाहरणों में देखे गए अनुसार टिप्पणी करके इसे AND कथन को अनदेखा करने की आवश्यकता है।



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. कैसे रिकॉर्ड प्राप्त करने के लिए अगर Laravel . में गिनती शून्य है

  2. क्या मुझे MySQL में डेटाटाइम या टाइमस्टैम्प डेटा प्रकार का उपयोग करना चाहिए?

  3. MySQL बूलियन के रूप में कास्ट करें

  4. केवल-पढ़ने के लिए MySQL उपयोगकर्ता कैसे बनाएं?

  5. डेटाबेस में टिप्पणियों और पसंदों को लागू करना