select * from admin where username='abc’or 1=1 and password='123’
3个回答
展开全部
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会i员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
前提都是你知道表明
前提都是你知道表明
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
这句的意思就是username=abc OR(或者)1=1,这里的 1=1永远为真,在加上后面的 password=123,联合起来就是只要有人的密码为123的就能直接登录 ,不验证用户名字
追问
pengbingge|一级
关键在于你用的是字符串拼接而不是用的带参数的。这样不管用户名和密码是否正确,1=1 永远成立,又因为前面有了 or 这样 判断永远为真,就算不知道你得用户名和密码,也能保证查询成功,也就能登录你得系统了。
你的回答和上面这个回答有点是矛盾的 --- 就算不知道你得用户名和密码,也能保证查询成功。
假如没有密码为 123 的用户,那你的来说就不能登录了对吗?
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
关键在于你用的是字符串拼接而不是用的带参数的。这样不管用户名和密码是否正确,1=1 永远成立,又因为前面有了 or 这样 判断永远为真,就算不知道你得用户名和密码,也能保证查询成功,也就能登录你得系统了。
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
