如何在本地复制cookie SQL注入？

我有一个网站很容易通过cookies进行SQL注入。我有这些cookies:user，pwd。 如果我将user的值设置为randomnameuser，我可以跳过身份验证控件

为了测试我正在尝试使用XAMPP在本地运行同一站点的站点，问题是本地不可能使用在线站点中使用的相同字符串通过SQL注入攻击cookie

---

我什么都没变,怎么可能?

即使不看主体问题,

在cookies上没有SQL注入这样的东西！ 数据源与注入完全无关

重要的是目的地：您所需要的是始终正确设置查询的格式

对于格式正确的查询，不可能进行注入 不管数据源是cookie、JSON请求还是其他什么

知道了这一点，就很容易回答这个问题：你的查询格式不正确。您应该使用准备好的语句来运行您的查询，这可以保证它们只在最常见和最简单的情况下是安全的

---

另一方面，将密码存储在明文中的cookie中也是非常不安全的。您必须存储一个强盐散列。

这意味着您的本地环境设置与服务器环境设置不同。如果比较结果查询，您应该会看到差异

---

这应该是一个简单的转义问题-在查询中使用之前，只需清理您的值。

您的实际问题也是如此：如何在本地重现漏洞的利用？是的，这就是重点。这是最愚蠢的部分，称为魔术引号。然而，一个好的应用程序必须以这样的方式编写，以确保在任何设置下都是安全的。这确实是重点。谢谢，这是一个魔术引语的问题。我以前没有检查过，因为5.4中删除了神奇的引号，但我忘记了我使用的是旧版本的php，以确保与脚本的兼容性。问题解决了。不幸的是，问题并没有解决，哪怕是一点点消毒也不能解决问题。全世界没有人真正知道这种消毒是什么意思。嗯，除了谷歌，没有人知道：san·i·tize-保持清洁卫生好吧，我很想看看你将如何用肥皂洗你的数据：@bcat这是消毒的医学定义。然而，技术范围从“匿名化”到“编校”，它们都没有充分描述在这种情况下应该发生什么。@你的常识答案与这个问题有关：怎么可能服务器设置差异。之所以使用过于笼统的“净化”一词，是因为这个问题本身相当笼统。所以我觉得你的否决票不对，但我可能还是有偏见。这并不能回答他关于如何在本地机器上复制它的问题。使用COOKIES作为数据源的SQL注入更好吗？这是因为我英语不好，我知道sql注入是如何工作的。我不是在寻找如何清理输入，而是如何在本地复制相同的利用。因为我不明白为什么在没有我改变的情况下，本地开发无法工作anything@Gumbo你们的回答太直接了。他真正的问题是由于缺乏准备好的语句而导致易受攻击的代码。如果这个问题解决了，这个愚蠢的魔法引用问题就不会有太大的重要性了。@NxA请阅读我的答案，而不仅仅是强调的一行。数据源从来都不重要。看到了吗？@YourCommonSense他的问题并没有暗示他正在寻找解决他实际的主要问题的方法，即SQL注入漏洞。它只是说,他不知道为什么它在本地不起作用:"我没有改变任何东西,怎么可能?"也许他已经很有希望知道SQL注入问题的解决方案,只是想看看幕后到底发生了什么。我宁愿认为是你喜欢跳上用粗体字母布道的火车。