blocks|key|1512812|text|您要寻找的是SQL注入。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|1512813|http://en.wikipedia.org/wiki/SQL_injection|offset|length|1512814|entityMap|0|LINK|mutability|MUTABLE|url^0|0|0|16|0|0^^$0|@$1|2|3|4|5|6|7|M|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|N|8|@]|9|@$D|O|E|P|1|Q]]|A|$]]|$1|F|3|-4|5|6|7|R|8|@]|9|@]|A|$]]]|G|$H|$5|I|J|K|A|$L|C]]]]

<p>What you are looking for is SQL injection.</p>

<p><a href="http://en.wikipedia.org/wiki/SQL_injection" rel="nofollow">http://en.wikipedia.org/wiki/SQL_injection</a></p>


blocks|key|28078|text|您给出的示例利用了深思熟虑的代码，其中用户输入不会转义并在查询中使用。假设有一个带有用户和密码字段(form.html)的表单，它将输入的值传递给php脚本(test.php)。假设用户在两个字段中写入'‘OR+1+=1--|type|unstyled|depth|inlineStyleRanges|offset|length|style|BOLD|entityRanges|data|28079|下面的代码不会转义用户输入。您应该使用mysql_real_escape_string()或参数化查询来实现这一点。|28080|form.html：|28081|<form+method="POST"+action="test.php">
++++<input+type="text"+name="login"+value=""><br+/>
++++<input+type="text"+name="password"+value=""><br+/>
++++<input+type="submit"/>
</form>++++|code-block|syntax|javascript|28082|test.php：|28083|$name+=+$_POST['login'];
$pass+=+$_POST['password'];
echo+$name+.+"<br+/>";
$sql=+"SELECT+*+FROM+users+WHERE+login+=+$name+AND+password+=+$pass+";
//+$sql+now+contains+this+command:
//+SELECT+*+FROM+users+WHERE+login=+''+OR+1=1--+AND+password+=+''+OR+1+=1--+
//+condition+OR+1=1+means+that+any+row+satisfies+the+query
//+as+long+as+there+is+at+least+1+row+in+the+table+users,+authorisation+will+be+succcesful
echo+$sql+.+"<br+/>";
$result=mysql_query($sql);|28084|entityMap^0|2T|B|0|0|0|0|0|0^^$0|@$1|2|3|4|5|6|7|U|8|@$9|V|A|W|B|C]]|D|@]|E|$]]|$1|F|3|G|5|6|7|X|8|@]|D|@]|E|$]]|$1|H|3|I|5|6|7|Y|8|@]|D|@]|E|$]]|$1|J|3|K|5|L|7|Z|8|@]|D|@]|E|$M|N]]|$1|O|3|P|5|6|7|10|8|@]|D|@]|E|$]]|$1|Q|3|R|5|L|7|11|8|@]|D|@]|E|$M|N]]|$1|S|3|-4|5|6|7|12|8|@]|D|@]|E|$]]]|T|$]]

<p>Example given by you exploits badly thought out code, where user input is not escaped and used in queries.
Let's say there is a form with user and password fields (form.html), which passes values entered to php script (test.php). Assume user writes <strong>'' OR 1 =1--</strong> in both fields</p>

<p>Code below does not escape user input. You should use mysql_real_escape_string() or parameterized queries to do that.</p>

<p>form.html:</p>

<pre><code>&lt;form method="POST" action="test.php"&gt;
    &lt;input type="text" name="login" value=""&gt;&lt;br /&gt;
    &lt;input type="text" name="password" value=""&gt;&lt;br /&gt;
    &lt;input type="submit"/&gt;
&lt;/form&gt;    
</code></pre>

<p>test.php:</p>

<pre><code>$name = $_POST['login'];
$pass = $_POST['password'];
echo $name . "&lt;br /&gt;";
$sql= "SELECT * FROM users WHERE login = $name AND password = $pass ";
// $sql now contains this command:
// SELECT * FROM users WHERE login= '' OR 1=1-- AND password = '' OR 1 =1-- 
// condition OR 1=1 means that any row satisfies the query
// as long as there is at least 1 row in the table users, authorisation will be succcesful
echo $sql . "&lt;br /&gt;";
$result=mysql_query($sql);
</code></pre>


<blockquote>
  <p><strong>Possible Duplicate:</strong><br>
  <a href="https://stackoverflow.com/questions/601300/what-is-sql-injection">What is SQL injection?</a>  </p>
</blockquote>



<p>I saw some where like they used code like </p>

<pre><code>login=' or 1=1 -- &amp; password=' or 1=1 --
</code></pre>

<p>to login to sites from front end. I was wondering how this code used to break the login.</p>


Break the login code test

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

 可能重复：我看到了一些他们使用代码的地方login=' or 1=1 -- & password=' or 1=1 --从前端登录到网站。我想知道这段代码是如何破解登录的。

问中断登录代码测试
EN

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问中断登录代码测试EN