如何从这段php代码中找到密码,说出方法及密码的修改方法
<?phpob_start();include('../config.php');include('../include/ini.php');includeROOT.'/...
<?php
ob_start();
include('../config.php');
include('../include/ini.php');
include ROOT.'/include/log.class.php';
$log=new log();
$user=$GPC['p']['haname'];
$pwd=substr(md5($GPC['p']['hapwd'].$salt),5,20);
$sqlstr="SELECT ygid,ygno,password,ygpower FROM `${pre}syg` WHERE `ygno`='$user' AND `password`='$pwd'";
$re=mysql_query($sqlstr,$conn);
$row=mysql_fetch_row($re);
if($row){
session_start();
$_SESSION['user'] = $row[1];
$_SESSION['uid'] = $row[0];
$_SESSION['power'] = $row[3];
$loginmsg='['.$user.']用户成功登陆';
$log->log_($loginmsg);
header("Location:admin.php");
exit();
}else{
$errormsg='['.$user.']用户尝试用密码['.$GPC['p']['hapwd'].']登录失败';
$log->log_($errormsg);
//echo "<script>alert('$pwd');</script>";
//dc0dd8ad74f049cd2c04
echo "<script>alert('真囧,登陆错误!你不是我们的成员吧');window.location.href='index.htm';</script>";
die('Oh,error:ill password or user!');
}
ob_end_flush();
?> 展开
ob_start();
include('../config.php');
include('../include/ini.php');
include ROOT.'/include/log.class.php';
$log=new log();
$user=$GPC['p']['haname'];
$pwd=substr(md5($GPC['p']['hapwd'].$salt),5,20);
$sqlstr="SELECT ygid,ygno,password,ygpower FROM `${pre}syg` WHERE `ygno`='$user' AND `password`='$pwd'";
$re=mysql_query($sqlstr,$conn);
$row=mysql_fetch_row($re);
if($row){
session_start();
$_SESSION['user'] = $row[1];
$_SESSION['uid'] = $row[0];
$_SESSION['power'] = $row[3];
$loginmsg='['.$user.']用户成功登陆';
$log->log_($loginmsg);
header("Location:admin.php");
exit();
}else{
$errormsg='['.$user.']用户尝试用密码['.$GPC['p']['hapwd'].']登录失败';
$log->log_($errormsg);
//echo "<script>alert('$pwd');</script>";
//dc0dd8ad74f049cd2c04
echo "<script>alert('真囧,登陆错误!你不是我们的成员吧');window.location.href='index.htm';</script>";
die('Oh,error:ill password or user!');
}
ob_end_flush();
?> 展开
3个回答
展开全部
$pwd=substr(md5($GPC['p']['hapwd'].$salt),5,20); //将提交表单填写的密码+$salt字符串合并,并进行MD5加密,得到MD5密文的第6位到第20位为数据库保存的密码。变态的方法!!!
$sqlstr="SELECT ygid,ygno,password,ygpower FROM `${pre}syg` WHERE `ygno`='$user' AND `password`='$pwd'";//该句为sql查询语句,匹配用户名 密码
即使拿到数据库内容也不能判断输入密码是什么!!!暴力破解也无能为力!!!真的很杯具!!!
$sqlstr="SELECT ygid,ygno,password,ygpower FROM `${pre}syg` WHERE `ygno`='$user' AND `password`='$pwd'";//该句为sql查询语句,匹配用户名 密码
即使拿到数据库内容也不能判断输入密码是什么!!!暴力破解也无能为力!!!真的很杯具!!!
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
由于用户名是唯一的 所以可以修改密码
$user = '要修改的用户';
$pwd=substr(md5('输入你想修成改的密码'.$salt),5,20);//3行
$sqlstr="update `".${pre}syg."` set `password`='$pwd'
where `ygno`='".$user."'";
echo $pwd;//这个是加密后的密码本行可不输出
/*
* 在3行里那个位置输入的密码和你登陆使用的是同一个
*/
$user = '要修改的用户';
$pwd=substr(md5('输入你想修成改的密码'.$salt),5,20);//3行
$sqlstr="update `".${pre}syg."` set `password`='$pwd'
where `ygno`='".$user."'";
echo $pwd;//这个是加密后的密码本行可不输出
/*
* 在3行里那个位置输入的密码和你登陆使用的是同一个
*/
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
这也算变态?
MD5加密这个是必要的流程!
MD5加密这个是必要的流程!
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
