我有一个问题,mycode的“=”“或使用'=''or'
”旁路登录代码的PHP
$connect= mysqli_connect($host, $user, $password, $database);
if (isset($_POST["sub"])){
$userr =$_POST["username"];
$passs =$_POST["password"];
$password = hash('sha256', $passs);
$query="select * from user WHERE username='$userr'AND password='$password'";
$run=mysqli_query($connect,$query);
if(mysqli_num_rows($run))
{
header("Location: index.php");
$_SESSION['username']=$userr;
exit;
}
else {
$pri ='<center><br/> error </center>';
}
}
mysqli_close($connect);
所以当有人做绕过它会去到index.php
我真的不知道如何解决它..
是的,你不应该在你的查询中直接使用'$ userr'。旁路是调用sql注入,使用准备好的语句或至少逃避你的输入。 – jh1711