LOGIN über SQL Injection?

Ich habe folgenden code auf meiner website und möchten, loggen Sie sich mit SQL-Injection. Ich habe versucht einige codes für die, die es aber nicht konnte, haben ein Ergebnis.

$username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username='$username' AND password='$password' LIMIT 1";
$sql = mysql_query($query);

if( mysql_num_rows($sql) == 1 )
{
    $row = mysql_fetch_array($sql);
    $_SESSION['id'] = $row['id'];
}
else
{
    echo $query;
}

Hier sind die codes, die ich ausprobiert habe. In die erste, die ich versuchte von Benutzername:

Markiere ich meine injizierte Teil als Kommentar, um es einfacher zu verstehen.

Benutzername eingegeben: admin' or id=1 ; --

SELECT * FROM users WHERE username='admin' or id=1 ; -- ' AND password='0' LIMIT 1"

Auch habe ich versucht zu geben, vorbei. Mit diesem code: 0' or '1'='1

 SELECT * FROM users WHERE username='admin' AND password='0' or '1'='1' LIMIT 1"

Was mache ich falsch?

  • Ich bin kein pen-testing noch PHP-Experte, aber würde ' or 1=1;-- Arbeit?
  • Es nicht 😀 ich weiß nicht, sah nur, dass ein Kerl thid, dass.
  • Ich dont bekommen, kein Ergebnis für mysql_num_rows mit es
  • Es werden automatisierte Test-tools wie SQLMap, die wissen, dass alle die tricks und wird Ihnen einen Bericht über Sicherheitslücken.
  • Was Sie tun wahrscheinlich nicht so funktionieren, wie Ihr gehackt Abfrage erhalten jede Zeile, in welcher der Benutzername ist "admin" ODER der id 1. Wenn der admin hat eine andere id als 1 ist, dann wird die Abfrage bringen, wieder 2 Zeilen, die scheitern würden, den Scheck für die Anzahl der Zeilen.
InformationsquelleAutor | 2014-04-16
  1. 1

    Können Sie nur verwenden, dies ist in der Benutzername parameter.

    admin%27%20--%20

    ODER

    admin%27%20OR%20%271

    Dies wird definitiv Pause der oben-Authentifizierung.

    wenn diese Authentifizierung Seite aufgerufen wird, als wie dieser.

    http://www.example.com/login.php

    Mithilfe von POST-Parametern Benutzername und Passwort.(Eingegeben durch eine textfiled von einem HTTP-Formular oder nichts).

    Können Sie einfach füllen Sie das Feld Benutzername mit über zwei Parameter.

    Oben genannten Parameter sind nur URL-encoded.Wenn es
    dekodiert werden,es wird ähnlich wie diese.

    admin' --

    ODER

    admin' ODER '1

    • Im nicht sicher, was Sie erzählen wollten, können Sie erklären, ein bisschen?
    • Sorry für die fehlende Erklärung es wird erklärt in der Antwort Bearbeiten
    • Sind Sie vorausgesetzt, OP tippt alles in der URL ?
    • Toll, ich bekomme es jetzt! Dank
    • Dann einfach markieren Sie es als Antwort und VOTEUP.Es wird großartig für mich
    • Hey dystroy.Die oben genannten php-Seite mit POST-Parameter.Das kann nicht weitergegeben werden wie die URL-Parameter als mit wie zu BEKOMMEN.
    • Ich kann voteup leider nicht genug rep 😛
    • Seine K. Bitte füllen Sie Ihre Kontaktdaten und die Erreichung der AutoBiographer Abzeichen.
    • Ich habe versucht Eure Tipps, aber es funktioniert nicht für mich.. Bitte versuchen Sie es in diese Kostenlose test-Seiten und mir erklären was ich genau zu tun ist. Vielen Dank im Voraus.

    InformationsquelleAutor ShihabSoft
  2. 1

    Lassen Sie uns sagen, in der Tabelle users enthält 3 Zeilen (BTW: ein Klartext-Passwort?!? Ich hoffe, dass nicht!!! Sehen Sie dies für die beste Praxis):

     id | username    | password
  1   admin         letmein
  2   user3537391   Passw0rd
  3   Piskvor       123456

    Jede der Abfragen, die Sie geschafft haben, zu injizieren, wird nun jeder der Zeilen, die aufgrund Betreiber Vorrang:

    SELECT * FROM users WHERE username='admin' AND password='0' or '1'='1' LIMIT 1

    bewertet als

    SELECT * FROM users WHERE (username='admin' AND password='0') or '1'='1' LIMIT 1

    Beachten Sie, dass die am weitesten rechts liegenden Begriff entsprechen jeder Zeile.
    Also if( mysql_num_rows($sql) == 1 ) ausgewertet if ( 3 == 1 ), die if (false). Also, das Programm funktioniert, aber nur durch Zufall.

    (Warum "durch Zufall"? Lassen Sie uns versuchen zu basteln eine andere Einspritzung:
    Eingabe 0' or username='admin würde uns

    SELECT * FROM users WHERE username='admin' AND password='0' or username='admin' LIMIT 1

    Den ersten term (username='admin' AND password='0') nicht übereinstimmen, aber die zweite wird match 1 Zeile genau, damit die Gewährung von Zugang ohne Passwort.)

    Wie man dieses Problem beheben:

    • Idealerweise nutzen parametrisierten Abfragen - siehe diese Frage. mysql_query ist veraltet und wird entfernt werden.

    • Wenn Sie WIRKLICH, WIRKLICH nicht wollen, zu reparieren Ihren code, zumindest die Flucht der Eingänge. DIES IST NUR EINE NOT-NOTLÖSUNG, NICHT WIRKLICH EINE LÖSUNG - MAN SOLLTE NICHT SCHREIBEN NEUEN CODE WIE FOLGT:

      $username = mysql_real_escape_string($_POST['username']);
      $password = mysql_real_escape_string($_POST['password']);

    • Genial vielen Dank es ist wirklich lustig zu hacken meiner website 😀
    • Besser Sie als jemand anderes 🙂 Dies ist eine Sicherheitsanfälligkeit, die so grundlegend, es wird versucht werden, gegen die Sie viele Male pro Stunde, die von automatisierten scripts.
    • danke für die info über die Flucht-Sache. ich weiß bereits, dass. Nur tring, um zu testen, meine Fähigkeiten in sqj-Injektion.
    • Bitte nicht raten, zu "entkommen Eingänge". Es ist im Grunde irreführend und injection-anfällig. @user3537391 sollte man eher erwähnen, dass Sie "schon wissen, parametrisiert Sache", nicht auf der Flucht
    • Tut mir Leid, dass.
    • Der Gesunde Menschenverstand: Was? Ich gelinkt habe, um eine kanonische Quelle, schlug vor, mit parametrisierten Abfragen, und nur dann habe ich vorgeschlagen, eine Notlösung. Sollte ich leugnen seine Existenz?
    • Das problem ist, es ist nicht eine Maßnahme überhaupt. was auch immer zu "entkommen" hat nichts zu tun mit Injektionen. Im ernst, die Flucht sollte nie erwähnt werden, als Maßnahme zum Schutz.
    • Okay, was auch immer. Verwenden Sie CS-Bibliothek, es ist das beste, auf der Flucht gibt es nicht. Jetzt glücklich?
    • Ich habe versucht Eure Tipps, aber es funktioniert nicht für mich.. Bitte versuchen Sie es in diese Kostenlose test-Seiten und mir erklären was ich genau zu tun ist. Vielen Dank im Voraus.
    • Keine Ahnung. Was genau meinst du mit "funktioniert nicht", wie soll ich wissen, ohne zu sehen, Ihren code?

    InformationsquelleAutor Piskvor
Schreibe einen Kommentar