如何突破通过判断字符串相等的系统实现用户登录?
- WBOYオリジナル
- 2016-06-06 20:39:11885ブラウズ
检测用户登录是账号密码是否匹配,可以通过判断字符串是否相等的方式。那如何突破这样的登录限制?
<code>php</code><code><?php $pw = "password";
$get = "password";
if($pw <> $get) {
echo "login fail.";
} else {
echo "login succeed.";
}
</code>
回复内容:
检测用户登录是账号密码是否匹配,可以通过判断字符串是否相等的方式。那如何突破这样的登录限制?
<code>php</code><code><?php $pw = "password";
$get = "password";
if($pw <> $get) {
echo "login fail.";
} else {
echo "login succeed.";
}
</code>
除非去暴力破解,或者侵入数据库直接修改数据。
通過記錄判斷相等所需要的時間,可以逐位確定密碼。
所以,下次請改用常數時間的相等比較算法。
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
前の記事:think关于php命名空间的问题 求解答啊次の記事:验证码的实现方式?