别人账号表单中填写 ' or 1=1 /* 密码随便填 那么那条sql就成了where username='' or 1=1 条件成立,登录成功 可以多一步,先取账号, 账号通过后再对比账号 $sql ="select username password from user where username=" .$user; if($sql && $sql["password"]==$pas){ }
你把sql语句改成
"SELECT username,password FROM user WHERE username=".$user." ADN password =".$psw;
建议重新学习一下字符串拼接,与单引号与双引号之间的区别。
你在php中文网 右上角的搜索框中搜索一下 相关教程吧
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
别人账号表单中填写 ' or 1=1 /* 密码随便填 那么那条sql就成了where username='' or 1=1 条件成立,登录成功 可以多一步,先取账号, 账号通过后再对比账号 $sql ="select username password from user where username=" .$user; if($sql && $sql["password"]==$pas){ }你把sql语句改成
建议重新学习一下字符串拼接,与单引号与双引号之间的区别。
你在php中文网 右上角的搜索框中搜索一下 相关教程吧