Jak naprawić kod statusu serwera: 302 Znaleziono przez SQL Inject Me Firefox Addon
Zeskanowałem mój skrypt logowania za pomocąSQL Inject Me Dodatek Firefox
Zgodnie z wynikami testu mój skrypt był podatny na SQL Injection. Wynik według przykładu
Results:
Server Status Code: 302 Found
Tested value: 1' OR '1'='1
Server Status Code: 302 Found
Tested value: 1' OR '1'='1
Server Status Code: 302 Found
Tested value: 1 UNI/**/ON SELECT ALL FROM WHERE
Server Status Code: 302 Found
Tested value: %31%27%20%4F%52%20%27%31%27%3D%27%31
Mój skrypt
login.php - formularz logowaniacheck-login.php - Aby sprawdzić szczegóły logowania i oto kod.
$ email = clean ($ _ POST ['nazwa użytkownika']); $ pass = clean ($ _ POST ['hasło']); $ user = "wybierz * z tbl_admin gdzie admin = '$ email' i pass = '$ pass'";
// jakiś kod
$ _SESSION ['login_mes'] = "Pomyślnie zalogowałeś się!"; nagłówek („Lokalizacja: admin.php”); wyjście();
} else {
$ _SESSION ['login_mes'] = "Nieprawidłowy adres e-mail lub hasło, spróbuj ponownie."; nagłówek („Lokalizacja: login.php”); wyjście(); }
Problemy pojawiły się, gdy logowanie się nie powiodło. Jeśli usunę
} else {
$_SESSION['login_mes'] = "Invalid email address or password, please try again.";
header("Location:login.php");
exit();
}
Brak błędów wykrywanych przez SQL Inject Me i jak naprawić tę część?