Question

我的登录表单有问题sql注入正在处理它，所以如何阻止它。

我正在使用mysql_real_escape_string，但没有改变

if(isset($_POST['submit-login'])) { 

    $user = $_POST['username'];
    $pass = $_POST['password'];

    $username = mysql_real_escape_string($user);
    $password = mysql_real_escape_string($pass);

    $usertool = new Usertool();
    if($usertool->login($username, $password)){
        //successful login, redirect them to a page
        header("Location: index.php");
    }else{
        $error = "Incorrect username or password. Please try again.";
    }
}

这是usertool

class usertool {
    public function login($username, $password) {
        $hashedPassword = md5($password);
        $result = mysql_query("SELECT * FROM tbl_user WHERE uname = '$username' OR eemail = '$username' AND password = '$hashedPassword'");
        if (mysql_num_rows($result) == 1) {
            $_SESSION["user"] = serialize(new User(mysql_fetch_assoc($result)));
            $_SESSION["login_time"] = time();
            $_SESSION["logged_in"] = 1;     
            return true;
        } else {
            return false;
        }
}

Answer 1

在您的情况下，它不是经典的SQL注入，而是错误的SQL逻辑。

您需要在查询中添加大括号：

SELECT * FROM tbl_user 
   WHERE (uname = '$username' OR eemail = '$username') 
      AND password = '$hashedPassword'"

在原始查询中，如果输入的用户名或电子邮件匹配，则整个语句的计算结果为true，甚至不检查密码

对于一般的SQL注入，为了使您的查询安全，您必须根据这些规则格式化查询部分

格式化必须完成。 mysql_real_escape_string单独执行不完整的格式化：你应该在使用此函数转义的数据周围添加撇号。
格式化必须足够，意味着您无法使用字符串格式设置数字或标识符的格式。 EVery SQL文字需要它自己的不同格式。
格式化必须尽可能接近查询执行。

遵循这些规则，您将非常安全地注射。使用预处理语句是遵循它们的最简单方法。

一个人不需要mysqli而不是PDO来使用本机预处理语句 - 你可以创建自己的变体。但是，您必须将mysql_real_escape_string移动到尽可能接近查询执行的位置，并始终在结果周围添加撇号。

如何从sql注入保存我的登录表单

1 个答案: