该用户昵称已存在 2022-11-17 07:15 采纳率: 100%
浏览 16
已结题

php变量及sql注入问题

在sqli-labs练习sql注入时,不太明白这里uname和passwd变量的使用,可以帮忙解答一下吗?看了一下教程需要使用双引号闭合,为什么?

    // connectivity
    $uname='"'.$uname.'"';
    $passwd='"'.$passwd.'"'; 
    @$sql="SELECT username, password FROM users WHERE username=$uname and password=$passwd LIMIT 0,1";
    $result=mysql_query($sql);
    $row = mysql_fetch_array($result);

    if($row)
    {
          //echo '';    
          
          echo "
";
        echo '';
        //echo " You Have successfully logged in " ;
  • 写回答

2条回答 默认 最新

  • migi@top 2022-11-17 09:35
    关注

    我建议你看看我的第一篇博客

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
    该用户昵称已存在 2022-11-18 09:28

    可以解释一下 $uname='"'.$uname.'"';是什么意思吗?

    回复
    migi@top 回复 该用户昵称已存在 2022-11-18 11:19

    点表示php中的连接符号
    mysql里面有两种数据形式 数字 字符串
    字符串需要引号包裹
    $uname=' " '.$uname.' " ';
    就是让这个变量让双引号包裹
    语句就变成了
    SELECT username, password FROM users WHERE username=“$uname” and password=“$passwd” LIMIT 0,1;

    回复
    该用户昵称已存在 回复 migi@top 2022-11-29 01:13

    好的,谢谢

    回复
查看更多回答(1条)
编辑
预览

报告相同问题?

  • 如何使用变量拼接SQL语句 oracle sql 数据库
    2022-08-19 12:39
    回答 2 已采纳 您好,怎么又发了一遍。是刚刚解决不了吗,刚刚我写的代码中多了两个引号注意去掉以下
  • C#SQL操作问题:必须声明标量变量错误 c# 数据库
    2022-03-29 01:38
    回答 1 已采纳 你到底是什么数据库,sqlserver还是oracle,不同数据库里变量符号是不同的
  • 在Sql中使用php变量 php sql
    2014-10-20 02:16
    回答 2 已采纳 Just use plain single quotes. $search = "CustomerAccountName LIKE '%".$_GET['search']."%';"; Bu
  • SQL存储过程给变量赋值没有数据 sql sqlserver 数据库开发
    2022-08-18 02:18
    回答 2 已采纳 你存储过程在哪个地方给@Nos变量赋值了呢?
  • springboot mapper注入问题 静态变量问题 java spring boot
    2022-07-18 14:24
    回答 3 已采纳 即使看不懂源码,从这个日志信息,也知道这里对static field做了过滤吧
  • 关于php查询sql语句的问题 php 数据库
    2022-05-07 05:29
    回答 3 已采纳 用的orm框架吧。数据库表字段跟类字段对应。
  • php中防止SQL注入的最佳解决方法
    2020-10-27 03:01
    PHP开发中,SQL注入是一种常见的安全漏洞,攻击者可以利用这个漏洞篡改数据库查询,从而获取敏感数据、修改数据库内容甚至控制服务器。SQL注入通常发生在用户输入被直接拼接到SQL查询语句中的时候,如果用户输入...
  • sql 局部变量的使用 sql 有问必答
    2022-03-16 01:56
    回答 3 已采纳 @列名=列名这样是用select语句实现变量赋值,反过来是删除或者选出列名称和变量值一样的记录,2个都是合法的,但是看使用的环境
  • 如何修改sql语句防止sql注入 java sql
    2022-11-17 04:46
    回答 10 已采纳 搜一搜,参数化查询使用参数的方式,那么不管对方往里面塞什么语句,它都被当做值而不是语法来执行什么转义,什么过滤,都是不靠谱的方法
  • php中 数据库语句的变量传入问题 html5 php sql 数据库
    2017-03-16 23:42
    回答 2 已采纳 这个要不你写一个隐藏标签,要不你在哪个sql页面直接调用时间函数,将变量传入sql。
  • sql注入详解
    2023-05-05 03:46
    Ly4j的博客 SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。...
  • php防止sql注入简单分析
    2020-12-19 02:27
    PHP编程中,防止SQL注入是至关重要的,因为不恰当的数据处理可能导致严重的信息泄露。以下是一些PHP防止SQL注入的基本方法: 1. **预处理语句与绑定参数**: 使用预处理语句(如PDO或mysqli的预处理语句)是防止...
  • PHP简单预防sql注入的方法
    2020-10-21 02:50
    PHP是Web开发中广泛使用的脚本语言,因此了解如何防止SQL注入对于保护PHP应用程序至关重要。 PHP防止SQL注入的基本方法是通过对用户输入进行适当的过滤和转义。以下是几种常用的防御策略: 1. 使用参数化查询...
  • PHPSQL注入攻击[一]
    2020-10-30 13:20
    SQL注入攻击是一种常见的网络安全威胁,尤其针对使用PHP语言构建的Web应用程序。这种攻击方式利用了程序对用户输入数据处理不当的漏洞,使得攻击者能够构造恶意的SQL语句,从而控制或破坏数据库系统。本文将深入探讨...
  • 没有解决我的问题, 去提问

问题事件

  • 系统已结题 12月2日
  • 已采纳回答 11月25日
  • 创建了问题 11月17日
手机看
程序员都在用的中文IT技术交流社区

程序员都在用的中文IT技术交流社区

专业的中文 IT 技术社区,与千万技术人共成长

专业的中文 IT 技术社区,与千万技术人共成长

关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

 客服 返回
顶部