سلام
میدونم موضوع یکم عجیبه ولی می خوام صفحه ای درست کنم مشکل اینجکشن داشته باشه و با تزریق کدهای اینجکشن دستورات اجرا بشه
موضوع و هدف جنبه اموزش خواهد داشت نه خرابکارانه
این کد صفحه فعلی لاگین بنده است
Dim sqlText As String = "SELECT username,password from admin WHERE (username =@username) and (password=@password)" Dim cmd As SqlCommand = New SqlCommand(sqlText, cn) cmd.Parameters.Clear() cmd.Parameters.Add("@username", SqlDbType.NVarChar) cmd.Parameters.Add("@password", SqlDbType.NVarChar) cmd.Parameters("@username").Value = TextBox1.Text cmd.Parameters("@password").Value = TextBox2.Text cn.Open() Dim sdr As SqlDataReader = cmd.ExecuteReader If sdr.Read Then Session("Kind") = "1243" Server.Transfer("Default.aspx") Else Label3.Text = "Invalid user or bad password" End If
پیشاپیش تشکر می کنم
سلام
برای اینکه بخوایی مشکل اینجکشن داشته باشه صفحت از پارامتر استفاده نکن تو کوئریت و از دریافت متغییر مستقیم استفاده کن
SELECT username,password from admin WHERE (username ='"+variable+"') and (password=
'"+variable+"'
با تشکر
عالی بود
فقط نمی دونم چه کار کنم به محض خطا دادن ویژال میخواد دیباگ کنه و نمیزاره خطا ها رو بخونم
ولی با کد هایی مثل
' or 'a'='a
" or "a"="a
') or ('a'='a
تونستم لاگین کنم
الان درصدد اجرای کدی مثل
union select @@version,1,1,1--
هستم که دیباگ نمیزاره
لطفا اگر چیزی به ذهنتون میرسه بفرمایید
خب حتما کدهاتون ایراد داره یعنی منظور کوئری هاتون.
بهتره از کوئری های اس کیو ال استفاده کنین.در ضمن نوع ارسال و دریافت پارامتر تو صفحه هم مهم هست.
بهتره به گروه ما تو وایبر یا تلگرام بپیوندی تا بیشتر کمکتون کنیم.
https://telegram.me/joinchat/A5eo8QCKPfBmJepQBEcPMg
http://mrsource.ir
تو این سایت هم میتونی آدی تلگرام رو ببینی و ...
لطفا تو گروهتون منو اضافه کنید شماره تلفن رو پیام میکنم
باشه شمارتون رو بزارید تا اددتون کنم
هیچ کاربری تا کنون از این پست تشکر نکرده است
با ما تماس بگیرید تا در این مسیر همراهتان باشیم :)