php – 如何修复服务器状态代码：302发现SQL注入我的Firefox插件

发布时间：2020-05-25 09:12:06 所属栏目：PHP 来源：互联网

导读：我使用 SQL Inject Me Firefox插件扫描了我的登录脚本根据测试结果,我的脚本很容易受到SQL注入攻击.以结果为例 Results:Server Status Code: 302 FoundTested value: #49#39#32#79#82#32#39#49#39#61#39#49Server Status Code: 302 FoundT

我使用 SQL Inject Me Firefox插件扫描了我的登录脚本

根据测试结果,我的脚本很容易受到SQL注入攻击.以结果为例

Results:
Server Status Code: 302 Found
Tested value: &#49&#39&#32&#79&#82&#32&#39&#49&#39&#61&#39&#49
Server Status Code: 302 Found
Tested value: &#x31;&#x27;&#x20;&#x4F;&#x52;&#x20;&#x27;&#x31;&#x27;&#x3D;&#x27;&#x31;
Server Status Code: 302 Found
Tested value: 1 UNI/**/ON SELECT ALL FROM WHERE
Server Status Code: 302 Found
Tested value: %31%27%20%4F%52%20%27%31%27%3D%27%31

我的剧本

> login.php – 登录表单
> check-login.php – 检查登录详细信息,这是代码.

$email = clean($_ POST [‘username’]);
$pass = clean($_ POST [‘password’]);
$user =“select * from tbl_admin where admin =’$email’and pass =’$pass’”;

//一些代码

$_SESSION [‘login_mes’] =“您已成功登录！”;
标题( “位置：admin.php的”);
出口();

} else {

$_SESSION [‘login_mes’] =“无效的电子邮件地址或密码,请再试一次.”;
标题( “位置：login.php中”);
出口();
}

登录失败时出现问题.如果我删除了

} else {

$_SESSION['login_mes'] = "Invalid email address or password,please try again.";
header("Location:login.php");
exit();
}

SQL Inject Me没有检测到故障以及如何修复此部分？

302是服务器说“我希望你去[其他地方]”(在这种情况下是login.php)的方式. 这不是错误,而是完全正常的反应.特别是在你的情况下,在SQL注入尝试之后将用户发送到登录页面比让他进入更有意义(如果你问我).

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!