0

大家好,抱歉问了这么原始的问题……但我无法回答!我们必须输入字段:登录密码

和一个由此产生的 mysql

从 t_users 中选择 user.Ident、user.fname、user.lname 作为用户 WHERE user.login= :login 和 user.pass=:password 和 user.status=0

我不是黑客,我自己从来没有使用过 mysql 注入……所以我不能说它是安全的……因为将登录设置为 "' OR 1; #" 将不起作用。

编辑 1

如果我输入 login = "' OR 1; #" password = '52352352' 我明白了

 Error Number: 1064

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' and user.pass='a32d2f2e60c1757c53cfbc3086d9ecc1' and user.status=0' at line 8

编辑 2 问题已关闭,感谢您的回答!

4

1 回答 1

2

从 中删除等于 (==) 的双精度数user.login= = :login。Sql 与单个等号 (=) 进行比较。

编辑: 试试看..

SELECT user.Ident, user.fname, user.lname FROM t_users as user 
WHERE user.login=:login and user.pass=:password and user.status='0';
于 2012-07-04T11:13:21.483 回答