yxcms二次SQL注入 - 网站安全 - 自学php-自学php网

主页 > 后端 > 网站安全 >

yxcms二次SQL注入 - 网站安全 - 自学php

来源：自学PHP网时间：2015-04-17 10:15 作者：阅读:次

[导读] 注册用户处，用户名可写入特殊字符，导致二次注入1 注册用户名：#39; or #39;1#39;=#39;12 注销用户（一定要注销，因为cookie里保存的用户名是转义过加上了\）,注册后重新登录就能取出带...

注册用户处，用户名可写入特殊字符，导致二次注入

1 注册用户名：' or '1'='1

2 注销用户（一定要注销，因为cookie里保存的用户名是转义过加上了"\"）,注册后重新登录就能取出带'号的用户名

3 在订单管理里面可以拿出所有人的订单信息，比较鸡肋的是数据库中account字段设置了30个字符的限制，没办法新增后台管理员账号……

修复方案：

只给'加上\是不行的，从数据库取出来会导致二次注入，做html转义吧

CSDN XSS第三弹：忽视innerHTML特性导致xss - 网站安全

看我如重置暴风影音账户密码（需要与用户互交

最新评论

加载更多~~

添加评论

更多文章推荐

Discuz附件下载权限绕过方法 - 网站安全 - 自学p 2015-04-16
使用动态sql的方法防止sql注入 - 网站安全 - 自学 2015-04-17
麦考林任意妹纸密码重置 - 网站安全 - 自学php 2015-04-17
Bonza Digital Cart脚本注射缺陷及修复 - 网站安全 2015-04-17
世界大学城盲注和显错注入 - 网站安全 - 自学p 2015-04-17
FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION - 网站安全 2015-04-16
绝密!为WindowsXP设置一个隐形密码 - Windows操作系统 2015-04-17
Artiphp CMS 5.5.0数据库备份泄露Exploit - 网站安全 2015-04-17
让千千静听不再弹出广告 - Windows操作系统 - 自学 2015-04-17
一个变态的7验证4语言OA系统 - 网站安全 - 自学 2015-04-17

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论