万能密码的SQL注入漏洞其PHP环境搭建及防御手段
目录 万能密码的SQL注入漏洞其PHP环境搭建及防御手段 一、环境搭建 二、session会话 三、环境搭建代码 1、创建数据库脚本 2、登录界面html 3、查询数据库是否为正确的账号密码php代码
目录万能密码的SQL注入漏洞其PHP环境搭建及防御手段一、环境搭建二、session会话三、环境搭建代码1、创建数据库脚本2、登录界面html3、查询数据库是否为正确的账号密码php代码4、连接数据库php代码:5、注销登录代码(即关闭session会话)6、登录成功欢迎界面四、万能密码漏洞剖析五、万能密码攻击防护1、使用正则表达式限制用户输入2、使用PHP转义函数3、转义函数的弊端六、MySQLi 参数化查询<p></p>万能密码的SQL注入漏洞其PHP环境搭建及防御手段
一、环境搭建
这个渗透环境的搭建有以下几点:
基于session的会话 登录界面 登录成功界面 注销界面 数据库搭建 数据库连接
二、session会话
服务器端利用session_start()函数发起一次session的会话 此时我们登录成功后用户的数据被保存在服务器端的Cookie: session= ,即sessionID 如果需要再次访问 服务器端的$_SESSION['...']会获取用户session 然后与原本存在于服务器的sessionID进行比对,如果比对成功,则证明用户正确
