Sto cercando di eseguire un'iniezione SQL su un sito Web fittizio creato sul mio localhost per un progetto di test di sicurezza.SQL injection non funziona correttamente
ho cercato di inserire la stringa " OR "='
nel campo username e password in modo da dovrebbe bypassare e visualizzazione accesso corretti - Ma invece si visualizza login fallito
Qualsiasi aiuto per capire il motivo per cui SQL injection non è lavorando
<?php
mysql_connect('localhost', 'root', '');
mysql_select_db('test');
if(isset($_POST['username'])&&isset($_POST['password'])){
$username =$_POST['username'];
$password = $_POST['password'];
echo $username;
echo $password;
if(!empty($username)&&!empty($password)){
$query ="SELECT id FROM users WHERE username = '$username' AND password = '$password'";
$query_run = mysql_query($query);
if(mysql_num_rows($query_run)>=1){
echo 'Login Correct';
}else{
echo 'Login Failed';
}
}
}
?>
<form action="test.php" method="POST">
Username: <input type="text" name="username">
Password: <input type="text" name="password">
<input type="submit" value="Submit">
</form>
Probabilmente un numero di virgolette – user1909426