Как исправить код состояния сервера: 302 Найдено с помощью SQL Inject Me Firefox Addon
Я отсканировал свой скрипт входа в систему, используяSQL Inject Me Firefox addon
Согласно результатам теста, мой скрипт был уязвим для SQL-инъекций. Результат на примере
Results:
Server Status Code: 302 Found
Tested value: 1' OR '1'='1
Server Status Code: 302 Found
Tested value: 1' OR '1'='1
Server Status Code: 302 Found
Tested value: 1 UNI/**/ON SELECT ALL FROM WHERE
Server Status Code: 302 Found
Tested value: %31%27%20%4F%52%20%27%31%27%3D%27%31
Мой сценарий
login.php - Форма входаcheck-login.php - чтобы проверить детали входа и вот код.
$ email = clean ($ _ POST ['username']); $ pass = clean ($ _ POST ['password']); $ user = "select * from tbl_admin, где admin = '$ email' и pass = '$ pass'";
// некоторый код
$ _SESSION ['login_mes'] = "Вы успешно вошли в систему!"; заголовок ( "Location: admin.php"); Выход();
} еще {
$ _SESSION ['login_mes'] = "Неверный адрес электронной почты или пароль, повторите попытку."; заголовок ( "Location: login.php"); Выход(); }
Проблемы возникли, когда не удалось войти. Если я удалю
} else {
$_SESSION['login_mes'] = "Invalid email address or password, please try again.";
header("Location:login.php");
exit();
}
SQL Inject Me не обнаруживает сбоев и как исправить эту часть?