万能密码 php,PHP 万能密码
PHP 万能密码
说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是百分之百
可是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了PHP注入。
其实说这话的人没有好好想过,更没有尝试过用万能密码进PHP的后台。
其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有。
如果你用这样的万能密码'or'='or',当然进不去,理由是GPC开启的时候单引号会被转换。
PHP注入时我常用的万能密码是:'or 1=1/*.
那我们分析一下为什么这可以进后台。
如果sql语句这样写:"SELECT * FROM admin where name='".$_POST['name']."'and password='".$_POST['password']."'",那我们在帐号处输入万能密码'or 1=1/*,密码随便输,sql
语句就成了select * from admin where name='’or 1=1/*' and password='任意字符'。
/*为mysql的注释符,这样后面的东西就都被注释掉了,也就是为什么密码随便输的原因。
假设GPC转换没有开启,那么请看:where name='’or 1=1(*/后面的东西被注释掉了),
name='’的逻辑值为假,而后面的1=1逻辑值则为真,对于整体就成了假 or 真,最终的逻辑值
还是真,就进后台了。
那么如果GPC转换开启了,就对单引号进行了转换。语句就变成了where name='\’or 1=1,在
看一下和刚才有什么区别,无非是多了个\。name='\'与name=''的逻辑值一样,都为假,那1=1
为真,总的sql语句的逻辑值不还是真吗?那有进不去后台的理由吗?
所以总的来说,php网站的万能密码可以这样写:'or 1=1/*,而GPC转换是否开启对它没有任
何影响!
所以请改变你的想法:存在字符型注入的php网站是可以用万能密码'or 1=1/*的。
0
0
0
0
评论(0)
“还没有人发表评论,快去抢占沙发吧”
万能密码 php,PHP 万能密码相关推荐
- WIFI密码破解 WIFI万能钥匙 显示连接密码去除广告优化版
WIFI密码破解 WIFI万能钥匙 显示连接密码去除广告优化版 ◎基于国内最新版(理论支持安卓P) ◎更换包名,不更新,不翻车,稳定好用 ◎全新显密,获取到的密码将在热点下方着色显示 ◎智能显密,没有 ...
- 手机WiFi万能钥匙查看破解的密码和手机查询命令收集
手机需要网络利用WiFi万能钥匙破解了WIFI的密码,手机就可以上网了,但如果想在电脑上使用手机破解的Wifi热点上网就需要密码,此时需要知道手机破解的密码,WiFi万能钥匙破解后的保存路径是/dat ...
- 怎么知道 网站是否直接明文保存密码_忘记账号密码 浏览器记住了 怎么找回密码?...
对于健忘又没有使用保存密码插件的习惯的人来说,忘记密码是经常的事情. 而大家知道的也就是通过网站的找回密码选项,通过邮箱,手机号,人工等方式找回密码,但是如果是个小网站,没有找回的功能,或者当时是随便 ...
- mysql本地服务器密码,mysql如何修改密码
今天利用SQLyog连接本地服务器,连接不上,一直报2003的错误,这个错误是由于本地mysql没有启动,经过一番倒腾,服务开启,但连接时再一次报1045Access denied for user ...
- 如何破解Red Hat Enterprise 4的root密码(救援有密码)
如何破解Red Hat Enterprise 4的root密码(救援有密码) 首先道歉,好久没有更新了,这段时间发生了很多事情,所以请大家原谅.无意义的话就不说了. 网络管理员 ...
- mysql 5.7 修改密码_又忘记密码啦?教你几种更改密码的方式
前言: 在日常使用数据库的过程中,难免会遇到需要修改账号密码的情景,比如密码太简单需要修改.密码过期需要修改.忘记密码需要修改等.本篇文章将会介绍需要修改密码的场景及修改密码的几种方式. 1.忘记 r ...
- oracle取消180天过期,Oracle密码过期如何取消密码180天限制及密码180天过期,账号锁住的问题...
Oracle密码过期,取消密码180天限制 1.进入sqlplus模式 sqlplus / as sysdba; 2.查看用户密码的有效期设置(一般默认的配置文件是DEFAULT) SELECT * ...
- Mysql-linux下密码修改,忘记密码修改,超级管理用户修改
未忘记密码 方法一: 在mysql系统外,使用mysqladmin # mysqladmin -u root -p password "test123"Enter password ...
- MySQL5.7.12新密码登录方式及密码策略
MySQL5.7.12新密码登录方式及密码策略 在Centos6.6上安装MySQL5.7.12时,遇到了一个问题 安装后在/root目录下没有发现有.mysql_secret这个文件,所以没有没法按 ...
- iPhone 查看万能钥匙连接的 WiFi 密码
2019独角兽企业重金招聘Python工程师标准>>> 上一篇介绍iPhone查看曾经手动连接过的WiFi密码,内容比较简单. 但是对于WiFi 万能钥匙,这种第三方所连接上去的 W ...
最新文章
- MySQL面试题 | 附答案解析(四)
- zabbix如何监控WEB应用性能
- OBS显示器捕获黑屏的解决方法
- 寻找随机的错误-一个真实的故事
- Profibus-DP光端机产品功能特点及技术参数详解
- 如何提升大规模Transformer的训练效果?Primer给出答案
- python 项目环境包的名称和版本导出和导入
- 基于 CoreAudio 的音频编解码(一):音频解码
- Trufun Kant Studio 2008面向VS.NET的开发应用
- 关于log4net 生成多个文件夹的解决方案。
- steam授权_听歌、看番、学习甚至开车...steam好像忘了自己是个游戏平台
- 学会System Generator(19)增量调制(DM)编码解码
- 未来教育计算机二级office评分有问题,未来教育计算机二级-未来教育计算机二级msoffice题库评分 – 手机爱问...
- c语言多字符和宽字符,2.1.5 多字节字符和宽字符
- 输入大写字母,将大写字母转换为小写字母
- 【luogu P3802】小魔女帕琪(概率期望)
- Jenkins构建ant项目
- ios 获取相机胶卷_电影胶片相机的工作原理
- React中关于props的那些事
- 未来的量子计算机模型,量子计算机上量子人工生命模型