PHP密码验证正在被绕过

I want users to enter one of 4 passwords to get access to my site. The landing page is index.html and the redirect page should be home.html

I used the following code and I am using an if statement to hash the entered password and compare it with the 4 acceptable hases. If they match then I want the page to redirect. Otherwise I want to display a JS alert.

My issue is that even if the wrong password is entered, it still redirects with no alert.

//Take the values from the html form and assign them to variables
$ID = $_POST['name'];
$userpassword = $_POST['password'];

//Check to see if the password matches the hashes
if (md5($userpassword) === '5b5c45f1b9e444d9e441211cfb325270' 
    or '17434cf0d4ba816cd776ff8b0ec532f1' 
    or '7a94fda2a6e81a1693533e6dc8501b37' 
    or '2d8b2ba14eeb0ac1fe474d468b720771') 
{
//Add the visitor name to our list
  mysqli_query($connect, "INSERT INTO `visitor list` (`Visitor Name`) VALUES ('$ID')") or die("Error in INSERT: ".mysqli_error($connect));

  echo "You have entered the correct password, congrats.";
// Redirect them to rest of site
   header("Location: http://localhost:82/home.html");
      die();

}

else {
  echo "<script type='text/javascript'>alert('Wrong Password');</script>";
}

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
duanjiaolia97750 2016-01-08 07:41
关注
The code is only doing the comparison in for the first md5 hash but you have 4 conditions you want to satisfy so you would replace your if condition with this:

$hashedPassword = md5($userpassword); if ( $hashedPassword == '5b5c45f1b9e444d9e441211cfb325270' or $hashedPassword == '17434cf0d4ba816cd776ff8b0ec532f1' or $hashedPassword == '7a94fda2a6e81a1693533e6dc8501b37' or $hashedPassword == '2d8b2ba14eeb0ac1fe474d468b720771')

The reason why it wasn't working is because the way PHP interpreted code was like this:

if (false/true or true or true or true)

The md5 strings were seen as 'true' values. A string is only false if it is empty or it is equal "0" (but that's kind of a separate topic you can read about here .. so it is necessary to repeat the comparison.

An alternative way to do it would be to do this:

if (in_array(md5($userpassword), ['5b5c45f1b9e444d9e441211cfb325270', '17434cf0d4ba816cd776ff8b0ec532f1', '7a94fda2a6e81a1693533e6dc8501b37', '2d8b2ba14eeb0ac1fe474d468b720771'])

Basically it is checking if md5($userpassword) is defined in the array that is passed in the second argument.

More info on in_array:

in_array — Checks if a value exists in an array

Usage bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )

Link http://php.net/in_array
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

php数据库密码验证功能老是验证失败，数据库可以连接，请问是什么问题？ mysql php sql
2021-06-22 09:37

回答 4 已采纳你的md5写在了sql语句中了，md5不是sql语句，你应该把接收到的password进行md5加密后，再与数据库中的对比，代码如下： $password = $_POST['password']
PHP怎么使用jwt生成 token并且验证 php
2021-12-01 13:06

回答 2 已采纳第一账号密码登录获取tokenJWT需要composer安装下，然后调用 $jwt_config = [ 'iss' => config('jwt.iss'), //签发者可选
在PHP中使用正则表达式进行用户名验证 php
2017-07-08 07:51

回答 3 已采纳 The following pattern will work: ^[a-z0-9][a-z0-9_]*[a-z0-9]$ ^[a-z0-9]: first character may not
php绕过验证,php后台验证两种方式绕过
2021-04-18 14:10

影视后期王荣的博客 php后台验证两种方式绕过前言环境:buuctf中[GXYCTF2019]BabySQli1知识点:两种验证方式，密码绕过参考:博客做题sql注入，fuzz过滤了(,),=,or然后就琢磨着都过滤了(),函数都不能用，还怎么进行sql注入尝试着成功登录...
无法使用password_verify验证密码 php
2019-01-10 21:17

回答 2 已采纳 @YashKaranke what is the password column's length? – Funk Forty Niner @FunkFortyNiner It is 5
请教：php中验证用户名和密码正确后，如何实现跳转？ javascript php
2017-11-30 14:40

回答 3 已采纳跳转需要在javascript里做 ``` 'error','message'=> $output); exit(); } if(!mysqli_set_charset
php导出数据量过大出现空白页 php
2020-01-16 13:43

回答 1 已采纳一般是内存溢出的问题，可以参考这个 https://blog.csdn.net/Mr_heber/article/details/103850814
php 上传绕过,文件上传验证绕过技术总结
2021-04-15 13:52

程铭夜的博客 1.客户端验证绕过很简单啦，直接使用webscarab或者burp修改一下后缀名就行。2.服务端验证绕过-Content-type检测若服务端检测文件类型时是检测Content-type的值，也很简单，在webscarab或者burp中修改Content-type。...
使用php生成Laravel密码 laravel php
2018-12-27 05:41

回答 1 已采纳 From version 5.0, Laravel uses the function bcrypt() to hash passwords, you should use this. You
PHP str_replace绕过 php
2012-07-02 07:58

回答 2 已采纳 Indeed, if ee does not occur in the string in exactly that way, which means in a compatible encodi
如何使用bcrypt与php进行密码验证？ php
2012-07-04 09:38

回答 1 已采纳 You must store the password AND the salt used when you BCrypt, or you'll never get the same string
php+mysql复现登录验证绕过
2019-12-08 10:14

KB-野原新之助的博客登陆验证绕过可分别从用户名和密码两处进行绕过。二、绕过原理万能密码绕过的原理是利用逻辑关系 and、or以及SQL语言的注释符，来达到绕过验证的目的。尤其注意：SQL中，优先级 and > or 因此，当有语句：a &...
求指导一下怎么在数据库重置带验证的后台密码 php
2022-05-16 02:22

回答 2 已采纳原本里面有修改密码嘛？有就直接修改密码就可以了。如果没有可以新注册一个，新注册这个是你知道的密码，把密码复制给它就行了。最主要的是你要知道加密规则。
php采集绕过cloudflare,关于pyspider绕过CloudFlare验证的问题
2021-03-19 07:26

weixin_39940344的博客问题在最后。爬一个网站，遇到下图的cloudflare5秒验证搜索了一下发现pyspider的github的issues里面已经有人指出了可以使用Anorov/cloudflare-scrape来绕过并且还提交了pull requests：...发现Anorov/cloudflare-scrape...
PHP花式绕过大全
2019-10-18 10:36

fly夏天的博客做了这么长的时间的ctf，现在总结一下自己做过的题，记录一下各种可能会存在绕过的php函数，持续跟新。各位大佬可以一起交流♂交流。 1.preg_replace （$pattern , $replacement , $subject ）其中 $...
没有解决我的问题, 去提问

悬赏问题

¥15 c程序不知道为什么得不到结果
¥40 复杂的限制性的商函数处理
¥15 程序不包含适用于入口点的静态Main方法
¥15 素材场景中光线烘焙后灯光失效
¥15 请教一下各位，为什么我这个没有实现模拟点击
¥15 执行 virtuoso 命令后，界面没有，cadence 启动不起来
¥50 comfyui下连接animatediff节点生成视频质量非常差的原因
¥20 有关区间dp的问题求解
¥15 多电路系统共用电源的串扰问题
¥15 slam rangenet++配置

PHP密码验证正在被绕过

1条回答 默认 最新

悬赏问题

1条回答默认最新