Ali_Sedaghat
سه شنبه 10 فروردین 1395, 11:51 صبح
با سلام خدمت تمامی دوستان و عرض تبریک به مناسبت سال نو خدمت شما عزیزان
در ادامه کدی قرار میدم مبنی بر صفحه ی لوگین مدیریت. می خواستم ببینم چه طور میشه این صفحه رو اینجکت کرد؟ با نوشتن چه عباراتی در کادر یوزرنیم و پسورد؟
و این که چه طور میشه جلوی اینجکت رو گرفت؟
ممنون میشم اگه راهنمایی بفرمایید.
به نظر من شخص نفوذگر فقط از طریق کدی که در خط 18 هست می تونه سوء استفاده کنه. اما چه طور و با چه عبارتی؟ آیا راهی هست که بشه با نوشتن یه عبارت در قسمت نام کاربری بقیه ی دستور رو غیرفعال کرد؟ مثل بایپس کردن صفحه ی لوگین ادمین و...
نیازمند راهنمایی های مفید شما سروران هستم.
با تقدیم احترام
صداقت
<?
include '../include/config.php';
if (check_login())
{
header('location:logout.php');
exit;
}
if ($post[post] == 1)
{
if (!$post[username])
$error .= "نام کاربری خود را وارد کنید.<br />";
if (!$post[password])
$error .= "کلمه عبور خود را وارد کنید.<br />";
if (($post[username]) AND ($post[password]))
{
$query = 'SELECT * FROM `admin_tbl` LIMIT 1';
$config = $db->fetch($query);
if($post[username] == $config['username'] AND md5($post[password]) == $config['password'])
{
$_SESSION[admin] = 1;
header("Location:index.php");
exit;
}
else
{
$error .= "نام کاربری یا کلمه عبور اشتباه است.<br />";
}
}
}
include 'template/header.php';
print_login_form($username);
include 'template/footer.php';
//--------------------------------------------------
function print_login_form() {
global $config,$post;
?>
<div class="top-bar">
<h1>ورود</h1>
<div class="breadcrumbs"><?=$config[Main][title]?>: ورود </div>
</div><br />
<div class="select-bar">
</div>
<?
include 'template/notify.php';
?>
<form method="post" action="">
<dt class="title"><label for="username">نام کاربری:</label></dt>
<dt><input type="text" name="username" id="username" class="field form" value="<?=$post[username]?>" dir="ltr" size="50"></dt>
<dt class="title"><label for="password">کلمه عبور:</label></dt>
<dt><input type="password" name="password" id="password" class="field form" dir="ltr" size="50"></dt>
<input type="hidden" name="post" value="1" />
<input type="submit" name="submit" value="ورود" class="button">
</form>
<?
}
?>
در ادامه کدی قرار میدم مبنی بر صفحه ی لوگین مدیریت. می خواستم ببینم چه طور میشه این صفحه رو اینجکت کرد؟ با نوشتن چه عباراتی در کادر یوزرنیم و پسورد؟
و این که چه طور میشه جلوی اینجکت رو گرفت؟
ممنون میشم اگه راهنمایی بفرمایید.
به نظر من شخص نفوذگر فقط از طریق کدی که در خط 18 هست می تونه سوء استفاده کنه. اما چه طور و با چه عبارتی؟ آیا راهی هست که بشه با نوشتن یه عبارت در قسمت نام کاربری بقیه ی دستور رو غیرفعال کرد؟ مثل بایپس کردن صفحه ی لوگین ادمین و...
نیازمند راهنمایی های مفید شما سروران هستم.
با تقدیم احترام
صداقت
<?
include '../include/config.php';
if (check_login())
{
header('location:logout.php');
exit;
}
if ($post[post] == 1)
{
if (!$post[username])
$error .= "نام کاربری خود را وارد کنید.<br />";
if (!$post[password])
$error .= "کلمه عبور خود را وارد کنید.<br />";
if (($post[username]) AND ($post[password]))
{
$query = 'SELECT * FROM `admin_tbl` LIMIT 1';
$config = $db->fetch($query);
if($post[username] == $config['username'] AND md5($post[password]) == $config['password'])
{
$_SESSION[admin] = 1;
header("Location:index.php");
exit;
}
else
{
$error .= "نام کاربری یا کلمه عبور اشتباه است.<br />";
}
}
}
include 'template/header.php';
print_login_form($username);
include 'template/footer.php';
//--------------------------------------------------
function print_login_form() {
global $config,$post;
?>
<div class="top-bar">
<h1>ورود</h1>
<div class="breadcrumbs"><?=$config[Main][title]?>: ورود </div>
</div><br />
<div class="select-bar">
</div>
<?
include 'template/notify.php';
?>
<form method="post" action="">
<dt class="title"><label for="username">نام کاربری:</label></dt>
<dt><input type="text" name="username" id="username" class="field form" value="<?=$post[username]?>" dir="ltr" size="50"></dt>
<dt class="title"><label for="password">کلمه عبور:</label></dt>
<dt><input type="password" name="password" id="password" class="field form" dir="ltr" size="50"></dt>
<input type="hidden" name="post" value="1" />
<input type="submit" name="submit" value="ورود" class="button">
</form>
<?
}
?>