[ MalGanis @ 07.06.2009. 10:25 ] @
Znam da je bilo dosta reči o ovoj temi, ali nikako do sada nisam uspeo da na nekom primeru primenim SQL Injection. Naime, potreban mi je prost primer kako preko Login forme na Web sajtu koji radi pod localhostom da primenim MySQL Injection? Neka tabela admin u bazi ima 3 polja : +-----------+----------------------+ | ID | username | password | +-----------+----------------------+ Code: <?php include "common.inc"; $db_link = db_connect(); $query = "SELECT * FROM admin WHERE username = '$username' AND password = '$password' "; $result = mysql_query($query, $db_link); $row = mysql_fetch_row($result); if ($row != null) header("Location:AdminHome.php"); else header("Location:NeuspelaPrijava.php"); ?> Na strani gde je Login forma za prijavu administratora, u polju za username kucam ' OR '1'='1 i isto to za password parametar. Međutim, neuspeo Injection jer me uvek vrati na NeuspelaPrijava.php Relativno sam nov u PHP-u i MySQL-u, unapred hvala. |