السلام عليكم اخواني واخواتي
قبل فترة قمت بختبار الإختراق في mysqli و لم استطع الوصول او لم اعرف كيف !
وانا ليس لدي خبره في PDO ولاكن عندما نسخت كود من احد المبرمجين عن ثغره
sql injection نجح الإستعلام ولاكن المشكله انه لي خبره في mysqli ولاكن لم استطع تصميم الكود
وهذا هو الكود !
<?php
$con = mysqli_connect("localhost","root","","testing");
$con = new mysqli("localhost","root","","testing");
if(isset($_POST['sub'])){
if(empty($_POST['user']) && empty($_POST['pass'])){
echo "Error _1";
}else { $user = $_POST['user']; $pass = $_POST['pass'];
$info = mysqli_query($con,"SELECT * FROM `users` WHERE `u_name` = '$user' AND `u_pass` = '$pass'");
$info_f = mysqli_fetch_assoc($info);
if($info_f['u_name'] == $user AND $info_f['u_pass'] == $pass){
print_r($info_f);
}else {
echo "Error _2";
}
} }
?>
<!DOCTYPE html> test security
الكود ليس صعباً ابداً اتمنى انوا تكون قد فهمتوه !
انا اريد ان انشئ الSQL injection في الINPUT عن طريق حقن ' ولاكن الحقن لا يتم
تنفيذه واعتقد ان المشكله في الmysqli_Fetch_assoc واتمنى منكم المساعده
وشكرا ............... ♥