万能用户名和万能密码

最新推荐文章于 2025-06-04 20:58:31 发布

[kb]

最新推荐文章于 2025-06-04 20:58:31 发布

阅读量1w

点赞数

CC 4.0 BY-SA版权

分类专栏：笔记文章标签： sql注入安全

本文链接：https://blog.youkuaiyun.com/qq_43623470/article/details/86289434

本文探讨了SQL注入攻击中的万能用户名和万能密码，如'any' union select * from user – 和 'any' or 1='1。介绍了如何通过PDO预处理语句来防御此类攻击，强调了在使用empty()函数时的陷阱，并提供了防止万能密码入侵的代码示例。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

万能用户名

any’ union select * from user – (后面有个注释符)
联合查询，是查询的结果大于1，为真

万能用户名防御
PDO

$username=$REQUEST['usernm'];
$password=$_REQUEST['passwd'];
$pdo=new PDO("mssql:host=127.0.0.1;dbname=users","sa","root");
$sql="select * from users where username=? and password=?";
$statment=$pdo->prepare($sql);
$statment->execute(array($username,$password));
$res=$statment->fetch();
if(!empty($res)){
header("location:success.php");
}
else{
header("location:failure.php");
}

解释：
给PDO这个类赋值，赋给pdo这个对象
sql数据库中的查询语句赋值给$sql
pdo这个对象使用方法prepare() 给sql语句固定一个模式
为 prepare 方法准备要执行的SQL语句，SQL语句可以包含零个或多个命名（:name）或问号（?）参数标记，参数在SQL执行时会被替换。
你不能在 SQL 语句中同时包含命名（:name）或问号（?）参数标记，只能选择其中一种风格。
预处理 SQL 语句中的参数在使prepare方法时会传递真实的参数。

通过execute将数组array输入
执行准备查询–execute()方法
execute()方法负责执行准备好的查询
该方法需要有每次迭代执行中替换输入的参数。可以通过两种方法实现：作为数组将值传递给方法
Statment->来获取结果
empty()函数是用来测试变量是否已经配置。
若变量已存在、非空字符串或者非零