我已经阅读过关于MySQL注入以及它是如何完成的。我有一个疑问,如果登录代码从数据库中获取数据,怎么会受到攻击呢?
这是我的登录代码:
if($_GET['login'] == "myname" && $_GET['password'] == "mypass"){
echo 'welcome, admin.';
else
echo 'login failed.'
ps:这只是为了练习,我知道不应该使用硬编码密码。
答案 0 :(得分:3)
如果没有SQL数据库,则没有SQL注入。
另一个需要注意的常见问题是XSS的潜力。这可以通过简单地转义任何用户输出来处理。由于您在示例代码中根本不输出用户的任何内容,因此我认为没有问题。