PHP:在非SQL代码上注入代码?
[英]PHP: Injecting code on non-sql code?
问题描述
I've read about MySQL injection and how it's done. 
我已经阅读了有关MySQL注入及其完成方式的信息。 I have a doubt, how could a login code be attacked if it doenst get data from a database? 我有一个疑问,如果登录代码确实从数据库中获取数据,怎么会遭到攻击?
This is what my login code looks like: 这是我的登录代码:
if($_GET['login'] == "myname" && $_GET['password'] == "mypass"){
echo 'welcome, admin.';
else
echo 'login failed.'
ps: this is for practice sake only, I know hardcoded passwords shouldnt be used. ps:这仅是出于实践考虑,我知道不应使用硬编码密码。
1 个解决方案
解决方案1
3 已采纳 2012-04-30 04:55:40
If there's no SQL database, there is no SQL injection. 如果没有SQL数据库,则没有SQL注入。
The other common thing to watch out for is potential for XSS. 需要注意的另一件事是XSS的潜力。 This can be handled by simply escaping any user output. 这可以通过简单地转义任何用户输出来解决。 Since you don't output anything from the user at all in your example code, then I see no problem. 由于您在示例代码中根本不向用户输出任何内容,因此我认为没有问题。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.