[求助]SQL注入测试，有问题请教-WEB安全-看雪-安全社区|安全招聘|kanxue.com

0

[求助]SQL注入测试，有问题请教

发表于: 2010-5-30 17:42 2752

[求助]SQL注入测试，有问题请教

coolcall

活跃值

2010-5-30 17:42

2752

小弟做了WEBgoat的SQL注入教程，自我评价：基本合格
但在自己PHP服务器+SQL上试验，最简单的注入如'or 1=1 --发现行不通
我的PHP查询SQL的语句是
SELECT ID,user,password FROM `inject` WHERE `user` = '用户名变量' AND `password` = '密码变量'

在登录界面输入语句后变成
SELECT ID,user,password FROM `inject` WHERE `user` = '\' or 1=1 --' AND `password` = '123123'

我在PHP页面编入以上语句是可以运行登录的
但在登录界面输入' or 1=1 -- 就不行
构造的语句不都一样吗？？

特小弟在http://coolcall.0fees.net/attack/
建立个PHP的简单登录页面，望老手们回答

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费

支持

分享

最新回复 (6)
冰雪风谷雪币： 500 活跃值： (205) 能力值： ( LV13，RANK：270 ) 在线值：发帖 16 回帖 70 粉丝 2 关注私信	冰雪风谷 6 2 楼你把你php设置的magic_quotes_gpc = Off就可以了． 2010-5-31 09:32 0
coolcall 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	coolcall 3 楼这个是在服务器端做的设置吧...开启后会把变量值自动加上\'来转义 ' 字符能不能在客户端提交其他数据完成注入？ 2010-5-31 11:29 0
冰雪风谷雪币： 500 活跃值： (205) 能力值： ( LV13，RANK：270 ) 在线值：发帖 16 回帖 70 粉丝 2 关注私信	冰雪风谷 6 4 楼这个也有，譬如有时候你可以提交%bf' 2010-5-31 13:42 0
coolcall 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	coolcall 5 楼 %bf' 代表什么？怎么用？我输入 %bf' 在用户名栏，密码随便的 SQL查询语句变成下面 SELECT ID,user,password FROM `inject` WHERE `user` = '%bf\'' AND `password` = '232' 用户或密码错误, 返回 %bf' 变成了 %bf\' 2010-5-31 14:01 0
菰绝雪币： 59 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 51 粉丝 0 关注私信	菰绝 6 楼要看他的网站做的好不好了！有很多网站都替换了SQL关键字！然后再看他的判断是怎么写的！会SQL和会编程的大多都知道！ 2010-5-31 16:22 0
coolcall 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	coolcall 7 楼看来是只能从数字类型注入了可惜我做的全是含 ' 的 2010-6-1 11:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

coolcall

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区