sql注入问题 java司令员MySQL的数据库验证秘密加上 ‘ or ‘1’= ‘1 就可以出现万能密码

password的字符串中,加上 ‘ or ‘1’= ‘1 就可以创制出万能密码。

由来如下:

原代码中密码是123456

图片 1

推行数据库查询语句

图片 2

实在执行的SQL语句是:

select * from sw_user where username=’swift’ and password=’123456′

那是必要账号密码都不利才能登陆成功

要是有人将密码设置成那样的密码,则成了万能密码,什么样的用户名和密码都会登陆成功,如下图:

图片 3

即便在随机密码后增进 ‘ or ‘1’=’1
就足以了,任意账号和密码加上后都可以登陆成功,那是sql数据库的注入,原因是推行的sql语句变成了:

图片 4

依旧下边那条语句,实际上执行的是

select * from sw_user where username=’swift’ and password=’123456′ or
‘1’=’1′

背后的or 或讲话永远创设,所从前面的查询条件无论满意与否都不算了
,很有趣啊

 

网站地图xml地图