hack web认证的常用方法

1. 使用常用的用户名或者密码，比如说admin:admin

2. 注册用户名登陆之后，看cookie是什么，然后通过解密工具或者google，找到解密算法，然后可以算出想要hack的用户的cookie，然后登陆

3. mysql数据库不区分大小写，假设系统管理员账号是admin，但是在创建的用户的时候，php比较用户名是否存在的时候，区分大小写，所以发现这个用户不存在，可以创建用户Admin，然后以Admin用户登陆，这个时候php根据用户名Admin去数据库查找用户是否存在，但是数据库不区分大小写，很可能查找到了admin，然后将admin的session信息发给了Admin用户，这样达到了提权限的目的了

4.mysql数据库的记录写入mysql数据库的时候，会去掉空格，假设系统管理员账号是admin，在创建的用户的时候，php比较用户名是否存在的时候，不区分大小写，所以发现这个用户不存在，可以创建用户“admin ”，然后以“admin ”用户登陆，这个时候php根据用户名“admin ”去数据库查找用户是否存在，但是数据库会去掉空格，很可能查找到了admin，然后将admin的session信息发给了“admin ”用户，这样达到了提权限的目的了