mzliaolan 2014-03-10 08:55 采纳率: 0%
浏览 2502

能否绕过密码查询到数据库中的内容【sql】

我是个刚接触sql的菜鸟。学了简单的一些查询语句,知道实际开发中如果过滤不严很容易被别人利用,什么万能密码什么的。

然后我看到有一个网站,里面输入一个编号和一个6位密码,就能查询那个编号对应的成绩。但是我不知道密码,输入000000。发现网页只显示了一句 :
select * from xxxx where id='12345678' and psw='000000'

然后弹出一个对话框,说id或密码不正确。
我想用'or'1'='1来做密码试试看,然后发现网页显示出了:
select * from xxxx where id='12345678' and psw='\\'or\\'1\\'=\\'1'

还是那个id或密码错误对话框。目前我只知道,它把输入的单引号换成\\,并且把输入的\换成\\

请问一下各位高手,假设它没有其他过滤手段了,有什么办法能不知道密码查询到成绩么?

  • 写回答

1条回答 默认 最新

  • wumiaoyeah 2014-03-10 09:06
    关注

    ID和密码作为查询条件才能查出一条成绩,如果你不知道密码,只是通过ID来查询的话是查不到对应的成绩的,你加一个OR 1=1 也只是相对于吧psw='000000'这个查询条件去掉了而已。

    评论

报告相同问题?

悬赏问题

  • ¥15 聚类分析或者python进行数据分析
  • ¥15 如何用visual studio code实现html页面
  • ¥15 逻辑谓词和消解原理的运用
  • ¥15 三菱伺服电机按启动按钮有使能但不动作
  • ¥15 js,页面2返回页面1时定位进入的设备
  • ¥50 导入文件到网吧的电脑并且在重启之后不会被恢复
  • ¥15 (希望可以解决问题)ma和mb文件无法正常打开,打开后是空白,但是有正常内存占用,但可以在打开Maya应用程序后打开场景ma和mb格式。
  • ¥20 ML307A在使用AT命令连接EMQX平台的MQTT时被拒绝
  • ¥20 腾讯企业邮箱邮件可以恢复么
  • ¥15 有人知道怎么将自己的迁移策略布到edgecloudsim上使用吗?