我已经有一段时间了,我一直试图通过各种教程来破解我自己的登录表单。这些都不适合我。这让我想到如果通过下载Xampp我也下载了某种保护。这是真的吗?这是单行代码:
$cdquery = "SELECT name, surname, password, active FROM searcheng.try WHERE name='".$_POST['namen']."' AND password ='".$_POST['passworden']."' AND active = 1";
我尝试的一些注射是:
' OR '1'='1
' OR 1=1 --
'"; #
然而似乎没有任何效果,因为它返回空白,出现错误
(检查与MySQL服务器版本对应的手册,以便在第1行使用“a”和“active = 1”附近的正确语法)
或“帐户尚未激活”安全检查我把这个代码加到了其他位置:
if ($rows=mysql_fetch_assoc($cdresult)) {
while ($rows=mysql_fetch_assoc($cdresult)) {
echo $rows['name'];
echo $rows['surname'];
echo $rows['password'];
}
} else {
echo "Account hasn't been activated";
}
另外,我如何将这些功能存储在数据库中?
非常感谢!
答案 0 :(得分:1)
如果通过下载Xampp我也下载了某种保护。这是真的吗?
没有
返回错误(查看与您的MySQL服务器版本对应的手册以获得正确的语法)
这意味着你已经注射了。
您必须了解注入是一回事,成功利用是另一回事。注入只是意味着有可能注入一些代码。所以你已经得到了这个代码注入产生了语法错误。如果你想利用它,你必须学习SQL。