• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    4399活动分站注入漏洞及修复

    时间:2013/4/19 12:09:00 作者:平凡之路 来源:xuhantao.com 浏览:

    参数未过滤,www.xuhantao.com,导致sql注入,并且可以读文件
    详细说明:
    对iid参数没有任何过滤导致了sql注入

     
    <?php
     
     
    require_once "../../config.php";
    require_once "../../include/common_fun.inc.php";
    require_once "../../include/db_mysql.inc.php";
     
    $img_id = $_REQUEST['iid']; //未过滤
     
    $imgquery = $db->get_one("select * from hd_img where state=1 and img_id={$img_id}");
     
     
    ?>
    修复方案:
    intval
    作者  Matt ,涛涛电脑知识

  • 上一篇:天融信官网phpcms2008版本陈旧含SQL注入
  • 下一篇:SpecView = 2.5 build 853目录遍历
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1