PHP 绕过验证密码问题

问个问题能不能不拖上 PHP +1

呃....不好意思 是我描述不清楚 我的意思是不使用数据库
比如$a=123456
用户输入的是$b=$_POST['password']
有什么办法可以在用户输入 password 的时候 不输入 123456
就能通过验证

@lesloli #22

我还是没看懂你的补充，变量$a 是干嘛用的？
不输入 123456 ？
if ($b != $a) {
login();
}

@Patrick95 变量$a 就是储存密码的 假设密码就是 123456 判断输入的密码是否等于$a 等于就登录成功

问个问题能不能不拖上 PHP +1

其实我想问，楼主是碰到了，自己写的代码被人绕过了限制。所以先来问问有哪些绕过的方法，再去比对自己的逻辑漏洞么?是这样的话，直接上代码啊。

@Jacklee
代码很简单啊
大概就是$a=123456
$b=$_POST['password']
if($a==$b)
{
echo"登陆成功"；
}

感觉语文好差。。。看了 lz 的附加还是没看懂。
既然不限制是否输入 123456 就能 pass，提交后直接 do_login_success(); 不就好了。。。

@atroy 输入 123456 的确可以成功，但前提是输入者不知道密码是什么 这个 123456 是我举的例子，真是的密码肯定特别复杂猜不到的，所以在输入者不知道真实密码的情况下怎么才能通过验证

目测……

楼主是想破别人的密码，所以来这里求方法的。
楼主是想破别人的密码，所以来这里求方法的。
楼主是想破别人的密码，所以来这里求方法的。

以 27 楼的回复来看，这还能绕过？那 if($a==$b)应该改为 if($a===$b)

都 30 回复了，还没人搞明白，你到底是要破别人的密码，还是防别人破自己的密码，还是不知道自己的程序能不能绕过密码。

30 回复了啊，能说明白吗？

@nfroot 我不知道你从哪得出 “楼主是想破别人的密码，所以来这里求方法的。”这个结论的
我说了 27 楼的代码就是我程序的代码 我这么验证被别人破了，所以来问别人是怎么破我的密码的

@lesloli
我不知道你的具体的代码原形。但给你个栗子吃一口。

test.php?password=0

<?php
$a = 'a12B3.4c56';
$b = $_GET['password'];
if( $a == (int)$b){
echo"登陆成功";
}

@lesloli 我给你写了解决方案啊，如果还能破解，那就是 BUG 了，赶紧提交给 PHP 官方吧。

但是你也要把对方实际提交的字符串记录下来（会 PHP 存个字符串做记录不难吧），要不然你发到哪里都是没人会信你的。

我在上面提到的解决办法就是“以 27 楼的回复来看，这还能绕过？那 if($a==$b)应该改为 if($a===$b) ”

就事论事，上面一大堆人都不明白你到底要问什么，你应该学习一下《提问的智慧》，而我也给了你解决方案，你只评价我的态度，却不评价我的帮助，我表示遗憾。

有很多思路呀。sql 注入，php 弱类型，逻辑漏洞。具体请看 ctf 的 web 题目

楼主可能是问 又没什么方法可以绕过 if 我想。。可能编译器出错?

前后端输入验证、Salt、ORM、失败多次帐号锁定。有这么几个基本的功能设计，PHP 层面绕过的可能性极低。

同意楼上观点，楼主中文表达能力堪忧。学编程恐怕困难重重。。。