众所周知,对于大部分C/S(用户端客户端)模式得应用程序,都需要账户,密码来确认客户端的身份,来保障服务器端的安全(主要是数据库的安全). 对于客户端身份得验证模式,一般是先让用户输入账户名和密码
.
众所周知,对于大部分C/S(用户端客户端)模式得应用程序,都需要账户,密码来确认客户端的身份,来保障服务器端的安全(主要是数据库的安全).
对于客户端身份得验证模式,一般是先让用户输入账户名和密码,在查找数据库中有相对应的记录没有;若有,则赋予权力给客户端的用户,使其能进行相关操作;若没有记录,则不赋权客户端的用户,使其无法进入更内层的应用.明白这个道理,那么我们就可以在输入账户和密码时做手脚,比如: 查找账户和匹配的密码时,用的"&&"(逻辑与),我们可以在密码内容中加入"||"(逻辑或)和("1==1")这样的密码时,数据库语言在查找时,进行的是:查找用户账户名并且密码等于相对应的密码,或者"1==1"时,进入服务器某个页面 ....由于1一定等于1的,这里有用的是||或操作,就一定能进入下个页面,这样就实现了无需知道密码,也可登录某些重要页面得操作
.