首页 爱情文章 亲情文章 友情文章 生活随笔 校园文章 经典文章 人生哲理 励志文章 搞笑文章 心情日记
  • 爱情文章
  • 亲情文章
  • 友情文章
  • 生活随笔
  • 校园文章
  • 经典文章
  • 人生哲理
  • 励志文章
  • 搞笑文章
  • 心情日记
  • 英语文章
  • 范文大全
  • 作文大全
  • 新闻阅读
    •
    当前位置: 山茶花美文网 > 心情日记 > 正文

    网站万能密码 [PHP类型网站的万能密码]

    时间:2020-02-18来源:山茶花美文网 本文已影响 山茶花美文网手机站

    可是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了PHP注入。

    其实说这话的人没有好好想过,更没有尝试过用万能密码进PHP的后台。

    其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有。如果你用这样的万能密码"or"="or",当然进不去,理由是GPC开启的时候单引号会被转换。

    PHP注入时我常用的万能密码是:"or 1=1/*.

    那我们分析一下为什么这可以进后台,如果sql语句这样写:"SELECT * FROM admin where name="".$_POST["name"].""and password="".$_POST["password"].""",那我们在帐号处输入万能密码"or 1=1/*,密码随便输,sql语句就成了select * from admin where name="’or 1=1/*" and password="任意字符"。

    /*为mysql的注释符,这样后面的东西就都被注释掉了,也就是为什么密码随便输的原因。

    假设GPC转换没有开启,那么请看:where name="’or 1=1(*/后面的东西被注释掉了),name="’的逻辑值为假,而后面的1=1逻辑值则为真,对于整体就成了假 or 真,最终的逻辑值

    还是真,就进后台了。

    那么如果GPC转换开启了,就对单引号进行了转换。语句就变成了where name="’or 1=1,在看一下和刚才有什么区别,无非是多了个。name=""与name=""的逻辑值一样,都为假,那1=1为真,总的sql语句的逻辑值不还是真吗?那有进不去后台的理由吗?

    所以总的来说,php网站的万能密码可以这样写:"or 1=1/*,而GPC转换是否开启对它没有任何影响!

    所以请改变你的想法:存在字符型注入的php网站是可以用万能密码"or 1=1/*的

    • 网站万能密码 [PHP类型网站的万能密码] 相关文章:
    • 爱情文章
    • 亲情文章
    • 友情文章
    • 随笔
    • 哲理
    • 励志
    • 范文大全

    最新文章

    热点文章

    推荐访问

    军训远足心得体会 军训爬山心得体会 大学军训徒步拉练感想 军训徒步作文 军训徒步10公里感想 军训徒步心得体会 5分钟演讲中秋节节日 中秋一分钟演讲 中秋节演讲稿4分钟 中秋节演讲稿一分钟 中秋节演讲稿五分钟 3-5分钟 中秋节短篇演讲稿 中秋节演讲稿两分钟 中秋节的演讲稿3分钟 关于中秋节的演讲稿三分钟 孩子体验军训的心得 参加孩子军训活动的感受与收获 家长对孩子军训后的收获和感悟 小孩军训的收获与感悟 学生军训的收获与感悟 孩子军训成长过程家长感悟 孩子军训感悟 孩子军训心得体会 孩子军训的收获与感悟 兵役前训练心得体会 部队当兵的心得 新兵役前教育训练心得体会 预备役军训心得体会 新兵军训感悟

    本文网站万能密码 [PHP类型网站的万能密码] 由山茶花美文网整理提供,版权归原作者、原出处所有。

    Copyright © 山茶花美文网 All Rights Reserved.