Warum sieht die MySQL-Anweisung im PHP-Code meines kleinen Login-Systems so aus?

Question

。。 · Answer

别人账号表单中填写 ' or 1=1 /*  密码随便填
那么那条sql就成了where username='' or 1=1
条件成立，登录成功
可以多一步，先取账号， 账号通过后再对比账号
$sql ="select username password from user where username=" .$user;
if($sql && $sql["password"]==$pas){
}

PHP中文网 · Answer

你把sql语句改成

 "SELECT username,password FROM user WHERE username=".$user." ADN password =".$psw;

建议重新学习一下字符串拼接，与单引号与双引号之间的区别。

你在php中文网　右上角的搜索框中搜索一下　相关教程吧

Warum sieht die MySQL-Anweisung im PHP-Code meines kleinen Login-Systems so aus?

Antworte allen(2)Ich werde antworten