搜索
查看: 600|回复: 0

爱家房产网系统 Sql Injection#

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2014-6-2 13:04:10 | 显示全部楼层 |阅读模式
漏洞文件发生在buyshow.php中7行

  1. if(empty($_GET['id'])) header("location:buy.php");
  2. $YID=htmlencode2($_GET['id']);
  3. $exec="update yxq set YCS=YCS+1 where YZM=$yimaoid and YID=$YID and YLX='求购'";
  4. $result=mysql_query($exec);
复制代码

GET方式接收参数,然后用htmlencode2函数过滤就带入数据库了,由于这个函数不能防御sql注入,所以造成漏洞。

谷歌关键字:
游客,如果您要查看本帖隐藏内容请回复
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表