0

MySQL インジェクションとその方法について読みました。ログイン コードがデータベースからデータを取得しない場合、ログイン コードがどのように攻撃されるのでしょうか。

これは私のログインコードがどのように見えるかです:

if($_GET['login'] == "myname" && $_GET['password'] == "mypass"){
     echo 'welcome, admin.';
else
     echo 'login failed.'

ps: これは練習用です。ハードコードされたパスワードは使用しないでください。

4

1 に答える 1

3

SQL データベースがない場合、SQL インジェクションはありません。

もう 1 つの一般的な注意事項は、XSS の可能性です。これは、ユーザー出力をエスケープするだけで処理できます。サンプルコードではユーザーから何も出力しないので、問題はありません。

于 2012-04-30T04:55:40.620 に答える