如何修复服务器状态代码:302由SQL发现我注入了Firefox插件
我使用 SQL Inject Me
Firefox插件扫描了登录脚本
根据测试结果,我的脚本容易受到SQL注入的攻击。结果示例
Results:
Server Status Code: 302 Found
Tested value: 1' OR '1'='1
Server Status Code: 302 Found
Tested value: 1' OR '1'='1
Server Status Code: 302 Found
Tested value: 1 UNI/**/ON SELECT ALL FROM WHERE
Server Status Code: 302 Found
Tested value: %31%27%20%4F%52%20%27%31%27%3D%27%31
我的剧本
- login.php-登录表单
- check-login.php-检查登录详细信息,这是代码。
$ email = clean($ _ POST [‘username’]); $ pass = clean($ _ POST [‘password’]);
$ user =“从tbl_admin中选择*,其中admin =’$ email’和pass =’$ pass’”;
//一些代码
$ _SESSION [‘login_mes’] =“您已经成功登录!header(“ Location:admin.php”); 出口();
}其他{
$ _SESSION [‘login_mes’] =“无效的电子邮件地址或密码,请重试。header(“ Location:login.php”);
出口(); }
登录失败时出现问题。如果我删除
} else {
$_SESSION['login_mes'] = "Invalid email address or password, please try again.";
header("Location:login.php");
exit();
}
SQL Inject Me无法检测到任何故障,以及如何修复此部分?
问题答案:
服务器使用302的方式说“我希望您转到[其他地方]”(在本例中为login.php)。这不是错误,而是完全正常的响应。特别是在您的情况下(如果您问我),在尝试进行SQL注入之后将用户发送到登录页面比让他进入更为有意义。
-
我想知道Heroku服务器状态,找不到任何关于这个主题的留档。 示例: 任何人都可以解释这个例子吗?在哪里可以找到资源以供将来参考?
-
本文向大家介绍Python实现SQL注入检测插件实例代码,包括了Python实现SQL注入检测插件实例代码的使用技巧和注意事项,需要的朋友参考一下 扫描器需要实现的功能思维导图 爬虫编写思路 首先需要开发一个爬虫用于收集网站的链接,爬虫需要记录已经爬取的链接和待爬取的链接,并且去重,用 Python 的set()就可以解决,大概流程是: 输入 URL 下载解析出 URL URL 去重,判断是否为本
-
使用此代码,目前我正在读取xml文件,它的工作良好,我的个人Ubuntu PC 但是当我在Ubuntu服务器上运行相同的代码时,会显示错误 有人能帮我找出问题吗?服务器的问题在哪里?
-
问题内容: 我试图理解这一点。通常,每次用户登录系统时,服务器端都会创建一个会话,而用户客户端端则有cookie。当人们谈论无状态服务器端,有状态客户端时,它们是什么意思?服务器端无需使用会话保持跟踪用户?只在客户端使用Cookie来检查用户?意味着如果我更换服务器,用户将不会注意到它,仍然可以继续使用该服务? 如何配置spring-security来做到这一点? 问题答案: 对于真正的无状态服务
-
在处出现veracode扫描错误。有人能帮我解决这个问题吗。我可以在这里用什么来解决这个问题。veracode问题id是CWE 564。