php密码注入,php防止sql注入之万能密码以及防范

最新推荐文章于 2021-03-26 09:46:13 发布
最新推荐文章于 2021-03-26 09:46:13 发布
阅读量493 收藏
点赞数
文章标签: php密码注入

说什么叫sql注入呢?

就是在登录、注册、input中输入一些影响sql语句的代码

导致你的sql语句出现问题,比如说这个问题:

c3720ecac82f3331f4ffbf5c2b747261.png

select * from web_manage where username='xxx' and pass='ddd' or '1'

所有的sql注入或攻击就是破坏原有的sql语句,然后执行or  这样就可以得到数据了,犹如上面截图所示。

万能用户名看看是怎么回事:

我们还是以登录为准

select * from web_manage where username='xiaosong' and pass=md5("123") limit 1;

这是正确的一个sql语句,那么如何通过注入呢?  # 这就可以防止后面的代码执行

看看这句代码

da849f1cbe0e688cc049c708038d826b.png

xiaosong 像这样的内容都是 input来的,我们需要对这些数据进行转义

以下这两种方式都可以防止:

addslashes()

mysql_real_escape_string()

就是在收集数据的时候,把内容转义。

select * from web_manage where username='xiao\'song or 1 #' and islogin =1 \G;

f9b050d51b992640381c448a887fcb2c.png

再说一点就是删除

delete from web_manage where id =1 or 1

这句话就把所有的数据全部删除了

因为加了or

php代码

id= 1 or 1

$id=$_GET['id'];

$sql="delete from web_manage where id = $id " ;

就是这样一拼接就玩完了:

delete from web_manage where id =1 or 1

全部删除了,

那么有什么解决方案呢:

把id转换成 数字类型

1、intval

2、让他参与运算,隐士转换成数字。

就是这样就可以防范 id 的delete方法。

XSS攻击

Xss:Cross site Script 攻击

通过动态的代码,插入css、js代码,进行攻击

就是没有将这些代码实体输出,比如在input中输入了

通过这文化函数进行转义保存,把< > 转义成  >  < 这样的字符保存

htmlspecialchars()

htmlentites()  反转义 转回实体

strip_tags() 去掉html标签和php标签

  这样的代码如果你没有 htmlentites() 实体转义 就会造成页面混乱。
凯迪和迪娜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网站后台万能密码
09-28
网站后台万能密码,注意网站后台的安全,防护网站
万能密码SQL注入漏洞其PHP环境搭建及代码详解+防御手段
Zeker62的博客
09-01 1412
目录环境搭建session会话环境搭建代码创建数据库脚本登录界面html:查询数据库是否为正确的账号密码php代码连接数据库php代码:注销登录代码(即关闭session会话)登录成功欢迎界面:万能密码漏洞剖析万能密码攻击防护使用正则表达式限制用户输入:使用PHP转义函数:转义函数的弊端MySQLi 参数化查询环境搭建 这个渗透环境的搭建有以下几点 基于session的会话 登录界面 登录成功...
php密码注入,php下的SQL注入万能用户名和密码
weixin_39661353的博客
03-09 557
1.针对有单引号的情况 :万能密码 :select * from users where username='xxxx' and password='xxxxxx' or 1='1';万能用户名 :select * from users where username='xxxx' union select * from users/* and password='xxxxx';防止第一种万能密...
php防止sql万能密码,网络中心SQL注入漏洞(万能密码汇总) | C/C++程序员之家
weixin_32085599的博客
03-26 175
******网络中心SQL注入漏洞******起始: 2013年4月11日 实验课动机:下载高清影院客户端shipin.rar过程:登录直接跳转某页面的后台,疑似出问题...进入:SQL注入,你懂的,进去时候已经出问题了(不然我也进不去),没什么特别的东西!******仅仅进去看了看,结束*******万能密码汇总截至到现在,网站已经打不开,附上一下SQL注入总结的万能密码,至于为什么会存在万能密...
网站万能密码
0ffs3t
11-01 1559
好久都没写东西了,今天写个万能密码,说是万能,是因为如果网站没做防注入,用这个密码当帐户密码即可登录管理后台,进去后想干什么那就干什么了。 附一些网上查到的万能密码 'or''=' "or=or" 'or''=''or''=' 'or'='or' 'or'='1' 'or' '1'='1' or 'a'='a' 经本人验证,'or''=''or''='的效果是最好的!
注入总结之万能密码
06-15
通过对上述几种不同技术栈下万能密码的实现原理和技术细节的分析,可以看出SQL注入攻击仍然是当前网络安全领域的一大威胁。开发者应当采取有效的输入验证和数据过滤措施,如参数化查询等,以提高应用程序的安全性,...
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)
05-06
本压缩包提供的"PHP开发漏洞环境"是一个专门用于学习和研究这些安全问题的实践平台,包括SQL注入、文件上传、文件下载、XSS跨站脚本攻击、万能密码攻击以及session和cookie管理等多个方面。 1. SQL注入:这是一种...
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie+购物逻辑漏洞的学习等等)
最新发布
05-08
这个PHP开发漏洞环境提供了学习和实践多种常见安全问题的机会,如SQL注入、文件上传、文件下载、跨站脚本(XSS)、弱口令、Session/Cookie管理以及购物逻辑漏洞等。下面将对这些知识点进行详细的阐述。 1. SQL注入:...
PHP万能登陆密码
03-21
本文将深入探讨PHP万能登录密码的工作原理及其背后的SQL注入机制,并针对GPC(Get/Post/COOKIE)魔术引号功能的影响进行详细分析。 #### 二、背景知识 1. **SQL注入**:攻击者通过恶意构造SQL查询语句,利用应用...
phpweb的文件破解并修复万能密码漏洞
06-23
总之,理解和修复"phpweb的文件破解并修复万能密码漏洞"涉及到了Web应用安全的基础知识,包括密码策略、认证逻辑、SQL注入防护和文件上传安全。作为开发人员,我们应该时刻关注这些安全要点,以保护我们的系统免受...
网络安全系列之十 万能密码登录网站后台
weixin_33690367的博客
10-22 2215
在登录网站后台时,有一个比较古老的“万能密码”漏洞,即利用一个我们精心构造的用户名,即使不用输入密码,也可以登录后台,其原理仍属于SQL注入的范畴。假设数据库中存放用户信息的表是admin,其中存放用户名的字段是username,存放密码的字段是password,在用户验证页面中用来接收用户所输入的用户名和密码的变量也分别是username和password,当用户在用户验证页面输入用户名和密码后...
网站万能密码是什么
岁寒松柏
10-25 1503
在登陆后台时,接收用户输入的Userid和Password数据,并分别赋值给user和pwd,然后再用 sql="select * from admin where username="&user&" and password="&pwd&"" 这句来对用户名和密码加以验证。 以常理来考虑的话,这是个很完整的程序了,而在实际的使用过程中,整套程序也的确可能正常使用。但是如果Userid
网站万能密码大全
weixin_33858336的博客
10-01 3791
***常用万能密码 最新整理各类网站程序后台万能登陆密码大全:好多后台默认密码adminadminadminadmin888asp aspx万能密码1:”or “a”=”a2: ‘)or(‘a’='a3:or 1=1–4:’or 1=1–5:a’or’ 1=1–6:”or 1=1–7:’or’a'=’a8:”or”=”a’='a9:’or”=’10:’or’='or’11: ...
网站万能密码收集
u011500307的专栏
12-15 2905
本文转自:http://hi.baidu.com/foraya/item/9cb8272c92b9ef1b73863e29 所谓万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站所以称之为万能。 自己也有过收集,别人总结的我又添加了几个 asp aspx万能密码 1:"or "a"="a 2: ')or('a'='a  3:o
sql注入万能密码总结
热门推荐
hxhxhxhxx的博客
08-15 2万+
sql注入万能密码总结万能密码万能密码原理万能密码asp aspx万能密码PHP万能密码jsp 万能密码 万能密码 啊这,一般用来ctf登录的时候试试, 这是sqli-labs用的时候,我来记录一下 万能密码原理 原验证登陆语句: SELECT * FROM admin WHERE Username= '".$username."' AND Password= '".md5($password)."' 输入 1′ or 1=1 or ‘1’=’1万能密码语句变为: SELECT * FROM admi
mysql登录框万能密码_网站登录万能密码
weixin_36023533的博客
02-08 1349
---恢复内容开始---说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是百分之百。可是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了PHP注入。其实说这话的人没有好好想过,更没有尝试过用万能密码PHP的后台。其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有。如果你用这样的万能密码‘or'='or’,当然进不去,理由是GPC开...
网站万能密码收集与php万能密码详解
问君能有几多愁,恰似一江春水向东流
05-13 2255
所谓万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站所以称之为万能。 自己也有过收集,别人总结的我又添加了几个 asp aspx万能密码 1:”or “a”=”a 2: ‘)or(‘a’='a 3:or 1=1– 4:’or 1=1– 5:a’or’ 1=1– 6:”or 1=1– 7:’or’a'=’a 8:”or”=
php中md5(密码)注入问题
ariel0924的博客
09-27 437
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Document</title> </head> ...
web后台常用的万能密码
hahaha233330的博客
10-26 8764
网站后台万能密码就是在用户名与密码处都写入下列字符,如果知道管理员帐号的话直接添帐号,效果会更好。 例如我们要利用第一条就是: 用户名:"or “a”="a 密码:"or “a”="a 1:"or “a”="a 2: ‘.).or.(’.a.’=’.a 3:or 1=1– 4:‘or 1=1– 5:a’or’ 1=1– 6:"or 1=1– 7:‘or.‘a.’=‘a 8:“or”="a’=‘a 9:‘or’’=’ 10:‘or’=‘or’ 原理都是利用SQL语法来利用注入,其实这也是注入的一种,都是
PHP安全编程:防止SQL注入与XSS攻击策略
"该PDF文件主要探讨了PHP编程中常见的安全漏洞,包括SQL注入、跨站脚本(分为反射式和存储式)以及跨站请求伪造和命令行注入。文件着重于如何识别这些漏洞并提供了相应的防御策略。" 在PHP编程中,安全问题是一个至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值