Thorsten Korner 123tkShop存在SQL插入漏洞发布时间:2002-07-22 更新时间:2002-07-22 严重程度:中 威胁程度:用户敏感信息泄露 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:5244 受影响系统 Thorsten Korner 123tkShop 0.2详细描述 123tkShop对用户提交的输入缺少检查,用户提交的数据用于构建SQL描述,而123tkShop没有对这些提交的数据中是否包含"'"和"""符号进行过滤,攻击者提交恶意数据可修改SQL查询,从而更改数据库信息等。 测试代码 使用PHP选项'magic_quotes_gpc'为'on'自动过滤这些字符。 解决方案 无 相关信息 avart@gmx.de 参考:http://online.securityfocus.com/archive/1/282404 相关主页:http://www.123tkshop.org/ |
