Kod
<form action="logowanie.php" method="GET">
login: <input type=text name=f1><br>
hasło: <input type=password name=f2><br>
<input type=submit value="Wyslij">
<input type=reset><br>
<?
$login=$_GET['f1'];
$haslo=$_GET['f2'];
$plogin=admin;
$phaslo=1234;
if($login == $plogin)
{
if($haslo == $phaslo)
{
echo '<a href="strona.php">kliknij tu!</a>';
}
else
{
print "złe hasło <br> spróbuj jeszcze raz!";
}
}
else{
print "zły login <br> spróbuj jeszcze raz!";
}
?>
login: <input type=text name=f1><br>
hasło: <input type=password name=f2><br>
<input type=submit value="Wyslij">
<input type=reset><br>
<?
$login=$_GET['f1'];
$haslo=$_GET['f2'];
$plogin=admin;
$phaslo=1234;
if($login == $plogin)
{
if($haslo == $phaslo)
{
echo '<a href="strona.php">kliknij tu!</a>';
}
else
{
print "złe hasło <br> spróbuj jeszcze raz!";
}
}
else{
print "zły login <br> spróbuj jeszcze raz!";
}
?>
jak się można domyślić pobiera on od użytkownika login i hasło, a następnie porównuje je z właściwymi danymi. bez żadnego SQL ani innych baz danych. pomyślałem sobie że spróbuje się włamać na własną stronę. Najpierw spróbowałem wszystkich kodów SQL injection z książek, ale nie działały. W końcu poddałem się i wpisałem w pole login: "$plogin"-w tej zmiennej w moim kodzie zapisany jest poprawny login, a w pole hasło: "$phaslo" (poprawne hasło) wydawało by się że powinno zadziałać gdyż powstała by instrukcja :
..........if ($plogin==$plogin){.....
a tu kapota. pisze że niepoprawnie.
moje pytanie brzmi: DLACZEGO?
Czy otwierając na kompie obrazek o nazwie plik.txt zobaczysz napis plik.txt? 