关于MySql的语句漏洞谁知谁晓~~~~

marco2752

UID: 17672
帖子: 1
积分: 4
在线时间: 1小时
注册时间: 2007-07-28
最后登录: 2007-08-02

1^# marco2752 发表于2007-07-28

关于MySql的语句漏洞谁知谁晓~~~~

各位大虾小弟我正在写一个带漏洞的PHP网页，代码：
$sql = "select * from user where name = '$name' and pwd = '$pwd'";
$result = mysql_db_query($dbname,$sql,$conn);
$userinfo = mysql_fetch_array($result);
if(empty($userinfo))
{
echo "error";
}
else
{
echo "ok";
}

从代码来看，查询应该是有问题的，只要输入：'or''='应该能正确提交输出OK，为什么我的不行呢？？？

心若水寒

UID: 4
帖子: 936
积分: 1710
在线时间: 2168小时
注册时间: 2006-05-17
最后登录: 2015-07-08

2^# 心若水寒发表于2007-07-28

这样试试

$sql = "select * from user where name = '$name' and pwd = '$pwd'";
$result = mysql_query($sql,$conn);
$userinfo = mysql_fetch_array($result);
if(empty($userinfo))
{
echo "error";
}
else
{
echo "ok";
}

毕业了。。。