关键信息总结 漏洞描述 漏洞类型: SQL注入漏洞 受影响接口: /project/addproject 受影响版本: 1.0 - 2.0.5 漏洞位置 在 函数中,代码如下: 这段代码直接将用户输入拼接到SQL语句中,没有进行适当的参数化或转义,导致SQL注入。 漏洞利用演示 时间盲注: 利用SQLite的 函数来诱导延迟。当结果正确时,网络请求延迟约3500毫秒;错误时,延迟约300毫秒。 成功获取在线SQLite数据库版本: 3.31.1 网络请求示例 请求方法: POST URL: https://zj1.idex.net/project/addproject 请求体: 解决方案 使用参数化查询或预编译语句来防止SQL注入。 对用户输入进行严格的验证和转义。 ``` 这些信息展示了漏洞的具体位置、利用方式以及如何通过网络请求触发漏洞,对于理解和修复该SQL注入漏洞至关重要。