$sql_checkpasswd = "SELECT user_id, username, user_password, user_active
FROM " . USERS_TABLE . "
WHERE username = '" . $username . "'" . " AND user_password = '" . md5($password). "'";
以上是我的php代碼是如何編寫的。這是一個登錄頁面。sql注入可能用於下面的php代碼嗎?
如何在不知道密碼的情況下使用sql注入技術進行登錄?
由於
我嘗試所有可能的組合 '或 '1 = 1'
' OR '1 = 1' -
管理員);#
和所有通常的。
錯誤的查詢之一:http://prntscr.com/53bmv8
PS:我曾經花了大量時間關於這個問題進行研究,並嘗試了很多不同的方法,這就是爲什麼我張貼這個問題,爲了得到一些幫幫我。我是sql注入新手。
後'--' – 2014-11-05 16:47:49
不要忘了空間並嘗試太 – TheUknown 2014-11-05 16:48:42
你應該使用的SqlMap或其他一些汽車注入工具來檢查:) – 2014-11-05 16:49:57