关键信息 漏洞详情 CVE编号: CVE-2025-11479 产品名称: SourceCodester Wedding Reservation Management System Project V1.0 漏洞类型: SQL Injection 受影响文件: function.php 版本: V1.0 影响 无需登录或授权: 攻击者无需登录即可利用此漏洞。 风险: 可能导致数据泄露、数据库访问和控制,以及潜在的系统安全性和业务机密性问题。 漏洞位置与PoC 漏洞位置: 文件中的 函数。 Payload示例: 测试与运行截图 使用 工具进行测试,显示了多个SQL注入测试结果,包括时间延迟攻击和错误注入攻击。 截图中显示了数据库信息,如数据库名、表名和列名等敏感信息。 建议修复措施 1. 使用预处理语句和参数绑定: - 示例代码展示了如何在 中使用预处理语句来防止SQL注入。 2. 输入验证和过滤: - 对所有用户输入进行验证和过滤,特别是对 参数。 3. 限制数据库权限: - 确保应用程序使用的数据库账户只有必要的权限。 4. 使用数据库抽象层: - 使用自动处理参数绑定和防止SQL注入的数据库抽象层。 5. 定期安全审计: - 定期进行代码审查和安全审计。 6. 更新错误处理: - 更新错误处理以避免泄露敏感信息。 7. 清理用户输入: - 在整个应用中清理所有用户输入,而不仅仅是特定的易受攻击部分。