为什么我用sqlyog运行select * from admin where username='abc’ or 1=1 and password='123’报错?
网上这样说的:如在用户名文本框内输入:abc’or1=1--在密码框内输入:123则SQL语句变成:select*fromadminwhereusername='abc’...
网上这样说的:
如在用户名文本框内输入:abc’ or 1=1-- 在密码框内输入:123 则SQL语句变成:
select * from admin where username='abc’ or 1=1 and password='123’ 不管用户输入任何用户名与密码,此语句永远都能正确执行。
但我试了一下不行,报错:
Query : select * from pre_common_member where username = 'abc’ or 1=1 and password='123’ LIMIT 0, 1000
Error Code : 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '123’
LIMIT 0, 1000' at line 3
Execution Time : 00:00:00:000
Transfer Time : 00:00:00:000
Total Time : 00:00:00:000 展开
如在用户名文本框内输入:abc’ or 1=1-- 在密码框内输入:123 则SQL语句变成:
select * from admin where username='abc’ or 1=1 and password='123’ 不管用户输入任何用户名与密码,此语句永远都能正确执行。
但我试了一下不行,报错:
Query : select * from pre_common_member where username = 'abc’ or 1=1 and password='123’ LIMIT 0, 1000
Error Code : 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '123’
LIMIT 0, 1000' at line 3
Execution Time : 00:00:00:000
Transfer Time : 00:00:00:000
Total Time : 00:00:00:000 展开
展开全部
试试这样
select * from admin where [username]='abc’ or 1=1 and [password]='123’
select * from admin where [username]='abc’ or 1=1 and [password]='123’
追问
加了括号反而报错。发现问题是字段值后面用的中文的逗号‘,所以报错,要用英文的逗号'。
原来这样只要帐号正确,密码不对也能把数据查找出来:
数据库: test
生成日期: 2013 年 03 月 11 日 07:32
生成者: phpMyAdmin 2.11.2.1 / MySQL 5.0.45-community-nt
SQL 查询: SELECT * FROM te WHERE username = 'abc' OR 1 =1 AND PASSWORD = '123' LIMIT 0 , 30;
行数: 1
1usernamepassword45
abc 111
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
