关键信息 漏洞概述 产品名称: PHPGurukul Employee Record Management System Project V1.3 漏洞类型: SQL 注入 受影响文件: 版本: V1.3 描述 漏洞位置: 参数 影响: 攻击者无需创建账户,即可通过 参数注入恶意 SQL 查询,从而未经授权访问、修改或删除数据库中的数据,并获取敏感信息。 漏洞细节和 PoC Payload: 测试过程和结果 使用 sqlmap 工具进行测试,成功利用了 SQL 注入漏洞。 代码审计报告 易受攻击的代码: 建议修复措施 1. 使用预编译语句和参数绑定: - 预编译语句可以有效防止 SQL 注入,因为它们将 SQL 代码与用户输入分离。 2. 严格验证和过滤用户输入: - 对用户输入进行严格的格式验证和过滤,确保其符合预期格式,阻止恶意输入。