已经通过SQL注入攻击的登录代码示例，虽然mysql_real_escape_string ...

I use CodeIgniter, and having trouble with hacking. Is it possible to make SQL Injection to the login code below:

    function process_login()
{
    $username = mysql_real_escape_string($this->input->post('username'));    
    $password  = mysql_real_escape_string(MD5($this->input->post('password')));

    //Check user table
    $query = $this->db->getwhere('users', array('username'=>$username, 'password'=>$password));

    if ($query->num_rows() > 0)
    {
        // success login data

Am I using the mysql_real_escape_string wrong, or what?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

8条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douhe6255 2010-03-29 18:09
关注
Have a look at this old SO question.
I would use:

$sql = "SELECT * FROM users WHERE username = '?' AND password= '?'"; $dbResult = $this->db->query($sql, array($this->input->post('username')),array($this->input->post('password')));
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

PHP在表名中从mysql_real_escape_string更改为PDO [duplicate] mysql php sql
2014-01-24 13:15

回答 1 已采纳 You won't be able to escape the table name (I hope that $tablename isn't coming from an outside so
使用mysql_real_escape_string后，在textarea中显示多行 html mysql php
2012-11-30 13:00

回答 3 已采纳 you probably have magic_quotes turned on, check it with echo get_magic_quotes_gpc() or else you w
将mysql_real_escape_string（）用于用户输入是否安全 mysql php
2015-03-27 12:35

回答 1 已采纳 This function is generally designed specifically for sanitising user input and should always be us
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
2020-10-20 19:20

主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
mysql_real_escape_string（）但允许带撇号的名称 mysql php
2012-11-09 02:41

回答 2 已采纳 You chain the result of mysql_real_escape_string through stripslashes which basically removes ever
mysqli_real_escape_string不会插入到db中 database html mysql php
2019-03-04 10:58

回答 5 已采纳 You are wrong to pass parameters to the mysqli_real_escape_string () function before inserting the
如何将PHP7的$ mysqli-> real_escape_string与数组一起使用 mysql php
2016-03-07 18:37

回答 1 已采纳 You might be better off using prepared statements, but to the question, pass an array of object an
PHP函数addslashes和mysql_real_escape_string的区别
2020-10-26 00:46

主要介绍了PHP函数addslashes和mysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
在mysql中使用mysql_real_escape_string或addslashes时，字符串不会被转义 mysql php
2011-11-29 06:45

回答 2 已采纳 This is exactly what is supposed to happen. You want to insert the string O'reilly into the databa
mysql_real_escape_string还不够好？ mysql php
2011-03-14 20:56

回答 4 已采纳 Reasoning from the method name queryAsArray, it seems that you’re using this DbBase class from the
mysqli_real_escape_string（）返回空字符串 mysql php
2015-11-27 13:34

回答 3 已采纳 mysqli_real_escape_string($username) is missing a required parameter The usage of mysqli_real_esc
mysql_real_escape_string 注入_围绕mysql_real_escape_string（）的SQL注入
2021-01-19 12:03

weixin_39862985的博客沧海一幻觉简短的回答是肯定的，是的，有办法绕行mysql_real_escape_string()。对于非常糟糕的边缘案例!!!答案很长并不容易。它基于此处演示的攻击。攻击那么，让我们从展示攻击开始......mysql_query('SETNAMESgbk'...
使用mysql_real_escape_string的事务 php
2010-09-04 02:40

回答 2 已采纳 Don't be penny-wise and pound-foolish. Your questions are in the realm of micro-optimizations. C
php mysql_real_escape_string函数用法与实例教程
2021-01-20 00:35

语法mysql_real_escape_string(string,connection) 参数描述 string 必需。规定要转义的字符串。 connection 可选。规定 MySQL 连接。如果未规定，则使用上一个连接。说明本函数将 string 中的特殊字符转义...
php mysql 防 sql注入_php防sql注入函数mysql_real_escape_string解析
2021-01-28 12:23

lifeonex的博客在php与mysql的编程中，一般都要接受用户输入的数据，此时必须严格过滤用户的数据，以确保网站的安全。PHP中可以使用 mysql_real_escape_...mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字...
没有解决我的问题, 去提问

悬赏问题

¥15 slam rangenet++配置
¥15 对于相关问题的求解与代码
¥15 ubuntu子系统密码忘记
¥15 信号傅里叶变换在matlab上遇到的小问题请求帮助
¥15 保护模式-系统加载-段寄存器
¥15 电脑桌面设定一个区域禁止鼠标操作
¥15 求NPF226060磁芯的详细资料
¥15 使用R语言marginaleffects包进行边际效应图绘制
¥20 usb设备兼容性问题
¥15 错误(10048): “调用exui内部功能”库命令的参数“参数4”不能接受空数据。怎么解决啊

已经通过SQL注入攻击的登录代码示例，虽然mysql_real_escape_string ...

8条回答 默认 最新

悬赏问题

8条回答默认最新