绕过登录代码php [复制]

This question already has an answer here:

How can I prevent SQL injection in PHP? 28 answers

i have a problem with mycode '=''or'

$connect= mysqli_connect($host, $user, $password, $database);

if (isset($_POST["sub"])){
    $userr =$_POST["username"];
    $passs =$_POST["password"];
    $password = hash('sha256', $passs);
    $query="select * from user WHERE username='$userr'AND password='$password'";    

    $run=mysqli_query($connect,$query);

                        if(mysqli_num_rows($run))
    {
         header("Location: index.php"); 
        $_SESSION['username']=$userr;
        exit;
    }
    else {
        $pri ='<center><br/> error </center>';
    }
}
mysqli_close($connect);

so when anyone doing bypass using '=''or' it will go to index.php

I don't know really how to fix it ..

</div>

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dongre6404 2017-11-04 00:09
关注
Just properly escape the $userr and $password variables for using in sql statement like this:

$query="select * from user WHERE username='".mysqli_real_escape_string($connect, $userr)."' AND password='". mysqli_real_escape_string($connect, $password)."'";

You can lookup php mysqli sql injection for more information.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

绕过登录代码php [复制] mysql php
2017-11-04 00:02

回答 1 已采纳 Just properly escape the $userr and $password variables for using in sql statement like this: $q
PHP密码验证正在被绕过 php
2016-01-08 07:37

回答 1 已采纳 The code is only doing the comparison in for the first md5 hash but you have 4 conditions you want
在PHP登录表单代码中跳过一个IF块 mysql php
2016-05-29 12:56

回答 1 已采纳 $result = mysql_query($login_query); if (!$result){ die("<p>Password and username is not
大数据开发面试知识点总结
2021-02-09 11:22

GoAI的博客本文详细介绍大数据hadoop生态圈各部分知识，包括不限于hdfs、yarn、mapreduce、hive、sqoop、kafka、flume、spark、flink等技术，总结内容适合大数据开发者学习，希望能够和大家多多交流。
spring cloud gateway被绕过怎么办 java
2021-08-12 21:43

回答 1 已采纳服务验证，在gateway 转发时在请求头增加服务之间的token，然后后面的服务增加验证机制
Cakephp Auth：绕过登录 php
2013-03-17 03:15

回答 1 已采纳 I want a way to bypass the login functionality provided by Auth. You probably don't, you prob
python绕过滑动验证码 python 爬虫
2022-06-05 14:35

回答 4 已采纳可以通过添加header和params对数据加载链接请求： response = requests.get('https://live.cdn.huya.com/liveHttpUI/getHomeL
大数据知识点记录
2023-03-31 16:58

Jack_2085的博客 HUE相当于Navicat的一个工具kudu（数据库）------> impalaHbase（数据库）------> HiveAzkaban 调度 ------> jobsqoop : import export -- >mysql我们公司的大数据平台：数据通过魔瞳采集数据，从oracle导入到大数据...
PHP str_replace绕过 php
2012-07-02 07:58

回答 2 已采纳 Indeed, if ee does not occur in the string in exactly that way, which means in a compatible encodi
如何绕过CND查找IP 后端
2021-12-29 22:01

回答 3 已采纳能否把更详细的情况和截图发一下呢
当我使用json_encode时为什么PHP会绕过我的号码？ json php
2018-10-10 08:11

回答 2 已采纳 50610101800060384093800100001010000000056199999999 exceeds the value of the maximum integer in PHP
【愚公系列】2024年03月《CTF实战：从入门到提升》 011-Web安全入门（PHP反序列化漏洞）
2024-03-30 23:56

愚公搬代码的博客在PHP中，类和对象是用于封装数据与功能的核心组件，它们使得代码更加模块化、易于管理和扩展。在处理对象持久化——即在不同会话或不同请求之间保存对象状态的过程中，序列化和反序列化是两个非常重要的概念。反序...
XSS过滤了关键字符如何绕过其他测试用例
2021-05-11 15:19

回答 1 已采纳黑了他们网站就好了。。
全面认识当前市面99%的大数据技术框架（附:各大厂大数据技术应用文章）
2020-12-20 18:49

菜鸟也学大数据的博客 大数据面试题(完整） 2020大数据面试题真题总结(附答案)：点击这里技术栈 Hadoop 万亿数据下 Hadoop 的核心竞争力：点击这里 HBase HBase应用与高可用实践：点击这里 Kafka 基于 Kafka 的实时计算引擎如何选择？...
一个小兔子的大数据见解1
2019-02-20 14:00

会武术的科学家的博客 hiveSql（join操作，分区，分桶，hive的优化，自定义udf与udaf函数，开窗函数，hive优化实际上是mr的优化，combiner函数，合并小文件，减少shuffle,分区设置（配置和代码中）） Sqoop（增量导入数据的方法,有两种...
没有解决我的问题, 去提问

悬赏问题

¥15 基于卷积神经网络的声纹识别
¥15 Python中的request，如何使用ssr节点，通过代理requests网页。本人在泰国，需要用大陆ip才能玩网页游戏，合法合规。
¥100 为什么这个恒流源电路不能恒流？
¥15 有偿求跨组件数据流路径图
¥15 写一个方法checkPerson，入参实体类Person，出参布尔值
¥15 我想咨询一下路面纹理三维点云数据处理的一些问题，上传的坐标文件里是怎么对无序点进行编号的，以及xy坐标在处理的时候是进行整体模型分片处理的吗
¥15 CSAPPattacklab
¥15 一直显示正在等待HID—ISP
¥15 Python turtle 画图
¥15 stm32开发clion时遇到的编译问题

绕过登录代码php [复制]

1条回答 默认 最新

悬赏问题

1条回答默认最新