问:登录SQL注入

时间:2016-04-19 07:44:23

标签: sql

所以我在这里有一个经典的登录function newGradient() { var c1 = { r: Math.floor(Math.random()*255), g: Math.floor(Math.random()*255), b: Math.floor(Math.random()*255) }; var c2 = { r: Math.floor(Math.random()*255), g: Math.floor(Math.random()*255), b: Math.floor(Math.random()*255) }; c1.rgb = 'rgb('+c1.r+','+c1.g+','+c1.b+')'; c2.rgb = 'rgb('+c2.r+','+c2.g+','+c2.b+')'; return 'radial-gradient(at top left, '+c1.rgb+', '+c2.rgb+')'; } function rollBg() { $('.bg.hidden').css('background', newGradient()); $('.bg').toggleClass('hidden'); } 声明:

SELECT

攻击:

SELECT * FROM users WHERE username = '{var}' AND password = md5('{var}')

如果我使用这个语句,我的问题是它是否仍然容易受到SQL注入:

SELECT * FROM users WHERE username = 'admin' -- ' AND password = md5('{var}')

1 个答案:

答案 0 :(得分:3)

只需将用户名变量设置为xxx' OR 1=1--,即

...AND username = 'xxx' OR 1=1--

参数化正确

相关问题
最新问题