|
 | 作者: ljsh012 [ljsh012]
 论坛用户 |
登录 |
| 今天看一本书,他举了两个引号漏洞的例子: 1、当提交的用户名或密码为: haha'or'1'='1 时,由于sql中引号的问题,将产生以下的查询语句:select * from sometable where userid='haha'or'1'='1' and password='haha',如此便可以绕过用户名或口令的检验。这个可以理解。但是下面这个他说也可以绕过用户名或口令检验,我有点怀疑 2、假设密码那里输入haha'or'1=1',他说将产生以下sql语句: select * from sometable where user='haha' and password='haha'or'1=1'同样可以绕过口令检验,我不认为password那里会产生这个语句,应该是password='haha'or'1=1''所以我认为它不可能跳过口令检验,是我对还是他对? |
| 地主 发表时间: 04-03-19 13:00 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 编程破解
标题: sql中引号漏洞的问题