。。2017-11-03 10:58:22
##
别人账号表单中填写 ' or 1=1 /* 密码随便填
那么那条sql就成了where username='' or 1=1
条件成立,登录成功
可以多一步,先取账号, 账号通过后再对比账号
$sql ="select username password from user where username=" .$user;
if($sql && $sql["password"]==$pas){
}
PHP中文网2017-11-03 09:12:30
你把sql語句改成
"SELECT username,password FROM user WHERE username=".$user." ADN password =".$psw;
建議重新學習字串拼接,與單引號與雙引號的差別。
你在php中文網 右上角的搜尋框中搜尋一下 相關教學吧