Примечание:
Я стараюсь все 'OR 1 = 1' ИЛИ id = 1 - ... но не работает.
В своем вопросе вы используете как Процедурный и объектно-ориентированное PHP MySQL взаимодействия, который не будет работать и даст вам различные ошибки сценария. Вам нужно использовать тот или иной, эти две вещи делают не взаимодействуют друг с другом!
Ответ
Строки в MySQL заключены в одинарные кавычки, так что вам нужно, чтобы закрыть строку в начале, а затем добавить любую команду MySQL вы хотите на конце, прежде чем, наконец, приведение в порядок так вы не вызываете синтаксическую ошибку в исходной инструкции SQL (хотя с точки зрения точки вставки точки синтаксиса могут быть полезны при просмотре того, насколько уязвимы SQL-запросы, поскольку люди с этими уязвимостями часто выводят свои ошибки на экран, а не на файлы журналов, и т. д.):
часть 1:
Закройте входную строку раньше; x'
Часть 2:
кэрри заявление SQL, добавляя свои собственные инструкции, но не вызывая ошибку синтаксиса (часть 3).
Обычно с помощью номера: OR 1=1
(всегда будет истинным)
Часть 3 предотвращающие ошибку синтаксиса.
--
или #
(начало комментария) или прилагая SQL, так что полный SQL-запрос синтаксически правильный (впрыск строка заканчивается с открытой строкой): nameUser = 'z
Таким образом, ваш вход имени пользователя строка теперь может быть:
x' OR 1=1 OR nameUser='z
дает ваш SQL:
select * from uzivatele where nameUser = 'x' OR 1=1 OR nameUser='z'
and passwordUser = ''
Или же с помощью комментариев:
x' OR 1=1 --
select * from uzivatele where nameUser = 'x' OR 1=1 -- ' and passwordUser = ''
Вы должны подготовить запрос, связывать значения и выполнять. Это так просто, и этот сайт полон примеров. Пробовал функцию поиска еще? Возможно, прочитайте [документацию] (http://stackoverflow.com/documentation/php/2784/php-mysqli#t=201702051217273008155) – Xorifelse
используйте инструкции подготовки для предотвращения внедрения SQL-пакетов http://www.w3schools.com/php/ php_mysql_prepared_statements.asp –
Если вы используете что-то вроде «OR 1 = 1; как пароль, который может вам просто помочь. Вам нужно использовать подготовленный оператор или, в худшем случае, избегать строк. –