SQL Injection 範例(登入範例) | SQL Injection 登入
SQLinjection基本介紹 SQLinjection(又稱SQL注入式攻擊或是SQL資料隱碼攻擊),指的是利用SQL指令的輸入字串中夾帶其他的SQL指令,一般來說都是從正當的查詢指令中夾帶惡意指令例如:非法取得資料、惡意破壞資料...等。因此在程式設計時,也必須把這個基本的安全性給考慮進去。下面就介紹一個基本的SQLinjection範例(以帳號登入為例)首先,我們先建立一個HTML表單來傳送資料
密碼:
SQL injection 基本介紹
SQL injection( 又稱SQL注入式攻擊 或是 SQL資料隱碼攻擊),指的是利用SQL指令的輸入字串中夾帶其他的SQL指令,一般來說都是從正當的查詢指令中夾帶惡意指令
例如:非法取得資料、惡意破壞資料...等。因此在程式設計時,也必須把這個基本的安全性給考慮進去。
下面就介紹一個基本的SQL injection範例(以帳號登入為例)
首先,我們先建立一個HTML表單來傳送資料
<form action="testsql.php" method="post">
帳號:<input type="text" name="account"><br>
密碼:<input type="password" name="password"><br>
<input type="submit" value=" 送出">
</form>
同時也建立一個資料庫來做測試
接著就可以撰寫接收端程式
//接收帳號、密碼
$account = $_REQUEST[account];
$pass = $_REQUEST[password];
// 密碼使用md5加密
$password = md5($pass);
// 查詢有無符合帳號資料
$sql = "SELECT * FROM `test_sql` WHERE `account` LIKE ".$account." AND `password` LIKE ".$password."";
$r...