关键漏洞信息 受影响产品 名称: Retro Basketball Shoes Online Store 版本: V1.0 链接: https://www.campcodes.com/projects/php/retro-basketball-shoes-online-store-in-php-mysql/ 漏洞文件 文件: admin/admin_index.php 漏洞类型 类型: SQL注入 根因 由于在 中直接将 和 参数的值插入SQL查询中,而没有进行适当的清理或验证,导致SQL注入漏洞。 影响 攻击者可以利用此漏洞未经授权访问数据库、泄露敏感数据、篡改数据、控制系统甚至中断服务,对系统安全和业务连续性构成严重威胁。 漏洞详情与POC 易受攻击参数: Payload示例: 测试工具输出 使用sqlmap工具测试的具体信息截图显示了后端DBMS为MySQL,以及可访问的数据库和表等详细信息。 建议修复措施 1. 使用预编译语句和参数绑定。 2. 输入验证和过滤。 3. 最小权限原则。 4. 定期安全审计。