关键信息 漏洞概述 系统名称: Student Information System 供应商: https://code-projects.org/student-information-system-in-php-with-source-code/ 漏洞文件: 问题描述 问题类型: SQL注入漏洞 原因: 在 文件中, 和 参数被直接拼接到 SQL 语句中,没有任何过滤机制,导致 SQL 注入漏洞。 代码分析 证明 (POC) HTTP 请求 结果截屏 - 显示登录界面未正确处理恶意输入。 获取 Payload 使用 工具扫描,生成以下payload: - 检测到多个 SQL 注入类型,如布尔、错误和时间盲注等。 - 提取的数据库名列表: - atm - blog_admin_db - currental... - 共 26 个数据库名。 备注 建议对输入进行严格验证和转义,防止SQL注入。