玩命牛的成长记录(十二)——会话
来源:互联网 发布:php contains 编辑:程序博客网 时间:2024/05/24 15:40
“倒腾了几天,终于把登陆注册这个小功能搞定啦,你看我的笔记”,玩命牛给欣欣展示自己的成果。
“嗯,不错,进步挺快呀,看来你已经熟练掌握了数据库的使用方法了。”,欣欣夸奖到。
“是的,不过也就是看了几个基本的sql语法。”,玩命牛倒是变得谦虚了。
“呵呵,不过你这个小例子里面bug还是很多呀!”,欣欣先扬后抑。
“什么什么?这例子里面有bug?”,玩命牛不敢相信。
“我给你细数下哈,首先welcome.php页面没有访问控制,如果我直接在地址中输入对应的url,那么直接就进去了,也就是说用户根本不用注册和登陆;第二,没有对注册用户进行控制,可以注册两个相同用户名的用户;第三,也是最严重的,你的登陆存在sql注入漏洞”,欣欣如数家珍。
“其他的我都懂,确实是我没有想到的,但是sql注入是什么意思?”,玩命牛脑袋冒汗了。
“你看,我随便用一个帐号,密码我写这个:11' or '1'='1,你看看,就直接登陆进来了。”,欣欣给玩命牛演示到。
“我去,这么牛逼?这个帐号明明不存在呀,怎么能登陆进去?”,玩命牛看傻了。
“哈哈,这就得拜谢一些聪明绝顶的黑客了,这个漏洞在早期很多网站都存在,但是现在很少见了。至于其中的原理,你把后台sql语句打印出来看一下就明白啦。”,欣欣得意洋洋地解释到。
“今天真是长见识了,回去一定要弄明白这个sql注入到底是怎么回事。对了,还有一件事情,你说的注册用户控制,我可以在注册的时候查一下数据库,如果有就不插入了,但是对welcome.php的访问控制我还真想不出好办法,怎么能知道用户是否登陆过呢?”,玩命牛积极开动起脑筋来。
“哦,这就要用到一种叫会话的技术了,也就是大名鼎鼎的session。”,欣欣道破玄机。
“get,我马上去把session搞懂,然后修复着三个bug。”,玩命牛立下军令状。
- 玩命牛的成长记录(十二)——会话
- 玩命牛的成长记录(十二)——sql注入和session
- 玩命牛的成长记录(二十二)——新宠
- 玩命牛的成长记录(二十二)——盒子圆角和阴影
- 玩命牛的成长记录(一)——初见
- 玩命牛的成长记录(二)——布局
- 玩命牛的成长记录(三)——盒子
- 玩命牛的成长记录(四)——内容
- 玩命牛的成长记录(五)——表单
- 玩命牛的成长记录(六)——定位
- 玩命牛的成长记录(七)——切换
- 玩命牛的成长记录(八)——游戏
- 玩命牛的成长记录(九)——服务
- 玩命牛的成长记录(十)——数据
- 玩命牛的成长记录(十一)——请求
- 玩命牛的成长记录(十三)——异步
- 玩命牛的成长记录(十四)——接活
- 玩命牛的成长记录(十五)——需求
- 数据存储格式
- linux 命令系列之 用户和组信息文件(22)
- goldengate translations 的捕捉
- 对JAVA集合进行遍历删除时务必要用迭代器
- .9图的绘制
- 玩命牛的成长记录(十二)——会话
- 百度地图Android POI检索
- 一句话记录:Visual Studio 把需引用的文件自动复制到程序输出窗口中的命令
- 改造DuContact,实现动态加载
- linux 命令系列之 用户目录(23)
- 常用awk命令(转)
- (转载)Android Fragment 真正的完全解析(上)
- sgu 187
- linux 命令系列之 useradd(24)