关键信息总结 产品信息 受影响的产品: Interview Management System Project 受影响版本: V1.0 漏洞文件: /addCandidate.php 软件链接: - 项目源代码 - 下载链接 漏洞类型 主要漏洞类型: SQL Injection 和 Input Validation 根因分析 在 中的 参数没有进行适当的清理或验证,攻击者可以注入恶意代码并直接在SQL查询中使用。 当在 字段中提交非数字字符时,系统触发未捕获的PDO异常,导致敏感的内部信息暴露。 影响 攻击者无需登录或授权即可利用此漏洞,能够未经授权访问数据库、修改或删除数据、访问敏感信息,甚至导致系统控制和服务中断。 漏洞利用详情 影响参数: 参数 Payload示例: 不需要登录即可进行攻击。 修复建议 1. 使用预编译语句和参数绑定 2. 输入验证和过滤 3. 最小化数据库用户权限 4. 定期安全审计 5. 实施输入验证和类型检查 6. 自定义错误处理机制 7. 禁用生产环境中的错误显示 8. 启用参数化查询 9. 建立统一的数据验证类