关键信息 漏洞名称 phpgurukul Online Course Registration Project V3.1 /my-profile.php SQL injection 影响产品 Online Course Registration 漏洞文件 my-profile.php 影响版本 V3.1 漏洞类型 SQL Injection 根因 由于在 文件中对用户输入的SQL查询未进行适当的验证和过滤,导致SQL注入漏洞。 影响 攻击者可以利用此漏洞获取数据库访问权限,篡改数据,执行任意SQL命令,甚至控制整个系统。 描述 在 文件中存在一个SQL查询,该查询直接使用了未经验证的用户输入。这使得攻击者可以在查询中插入恶意SQL代码,从而绕过安全检查并执行任意操作。 漏洞细节和POC 漏洞位置: Payload: 请求包: 建议修复 1. 使用预编译语句和参数绑定。 2. 对用户输入进行验证和过滤。 3. 最小化数据库用户权限。