phpMyAdmin远程PHP代码注入漏洞_PHP教程-php教程-PHP中文网

首页

后端开发

php教程

phpMyAdmin远程PHP代码注入漏洞_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 13, 2016 pm 05:08 PM

phpphpmyadmin代码注入漏洞程序远程

涉及程序：
phpMyAdmin
描述：
phpMyAdmin远程PHP代码注入漏洞

详细：
phpMyAdmin是一个免费工具，为管理MySQL提供了一个WWW管理接口。
phpMyAdmin存在PHP代码注入问题，远程攻击者可以利用这个eval()函数执行任意PHP命令。
不过此漏洞只有当$cfg[‘LeftFrameLight‘]变量(config.inc.php文件)设置成FALSE时才有用。
phpMyAdmin在($cfg[‘Servers‘][$i])数组变量中存储多个服务器配置，这些配置包含在config.inc.php文件中，信息包括主机、端口、用户、密码、验证类型等，但是由于$cfg[‘Servers‘][$i]没有进行初始化，允许远程用户通过GET函数增加服务器的配置，如提交如下请求增加配置：
http://target/phpMyAdmin-2.5.7/left.php?server=4&cfg[Servers][host]=202.81.x.x&cfg[Servers][port]=8888&cfg[Servers][user]=alice ..
而eval()函数中的$eval_string字符串允许执行PHP代码，攻击者可以增加服务器配置和提交特殊构建的表名，可导致包含的恶意PHP代码被执行。
受影响系统：
phpMyAdmin phpMyAdmin 2.5.7

攻击方法：
暂无有效攻击代码

解决方案：
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.phpmyadmin.net

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

phpmyadmin怎么设置主键Apr 07, 2024 pm 02:54 PM

表的主键是一列或多列，用于唯一标识表中每条记录。设置主键的步骤如下：登录 phpMyAdmin。选择数据库和表。勾选要作为主键的列。点击 "保存更改"。主键具有数据完整性、查找速度和关系建模方面的好处。

phpmyadmin怎么添加外键Apr 07, 2024 pm 02:36 PM

在 phpMyAdmin 中添加外键可以通过以下步骤实现：选择包含外键的父表。编辑父表结构，在“列”中添加新列。启用外键约束，选择引用表和键。设置更新/删除操作。保存更改。

phpmyadmin账号密码是什么Apr 07, 2024 pm 01:09 PM

PHPMyAdmin 的默认用户名和密码为 root 和空。为了安全起见，建议更改默认密码。更改密码的方法：1. 登录 PHPMyAdmin；2. 选择 "privileges"；3. 输入新密码并保存。忘记密码时，可通过停止 MySQL 服务并编辑配置文件的方式重置密码：1. 添加 skip-grant-tables 行；2. 登录 MySQL 命令行并重置 root 密码；3. 刷新权限表；4. 删除 skip-grant-tables 行，重启 MySQL 服务。

phpmyadmin怎么删除数据表Apr 07, 2024 pm 03:00 PM

phpMyAdmin 中删除数据表的步骤：选择数据库和数据表；点击“操作”选项卡；选择“删除”选项；确认并执行删除操作。

phpmyadmin日志在哪里Apr 07, 2024 pm 12:57 PM

PHPMyAdmin日志文件的默认位置：Linux/Unix/macOS：/var/log/phpmyadminWindows：C:\xampp\phpMyAdmin\logs\日志文件用途：故障排除审计安全性

为什么phpmyadmin拒绝访问Apr 07, 2024 pm 01:03 PM

phpMyAdmin 拒绝访问的原因及解决方案：认证失败：检查用户名和密码是否正确。服务器配置错误：调整防火墙设置，检查数据库端口是否正确。权限问题：授予用户对数据库的访问权限。会话超时：刷新浏览器页面重新连接。phpMyAdmin 配置错误：检查配置文件和文件权限，确保启用了必需的 Apache 模块。服务器问题：等待一段时间后再重试或联系主机提供商。