参数未过滤,导致sql注入,并且可以读文件 详细说明: http://huodong.4399.com/luoke/dakaoyan/work.php对iid参数没有任何过滤导致了sql注入 <?php require_once "config.php"; require_once "include/common_fun.inc.php"; require_once "include/db_ mysql .inc.php"; $img_id = $_REQUEST['iid']; //未过滤 www.2cto.com $imgquery = $db->get_one("select * from hd_img where state=1 and img_id={$img_id}"); ?> 修复方案: intval 作者 Matt
查看更多关于4399活动分站注入漏洞及修复 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11798