PHP：非SQLコードでコードを注入しますか？

Question

私は、MySQLのインジェクションとそれがどのように行われたかについて読みました。私は疑問があります。データベースからデータを取得しないと、ログインコードがどのように攻撃されるのでしょうか？

は、これは私のログインコードは次のようになります。

if($_GET['login'] == "myname" && $_GET['password'] == "mypass"){ 
    echo 'welcome, admin.'; 
else 
    echo 'login failed.' 

PS：これは唯一、私が知っているハードコードされたパスワードが使用されるはずの練習のためです。

Answer 1

SQLデータベースがない場合、SQLインジェクションはありません。

注意すべき他の一般的なことは、XSSの可能性です。これは、ユーザーの出力をエスケープするだけで処理できます。あなたのサンプルコードではユーザから何も出力しないので、何の問題もありません。