关键漏洞信息 受影响的产品 Sports Club Management System 受影响文件 /dashboard/admin/change_s_pwd.php 版本 V1.0 漏洞类型 SQL injection 问题描述 在 "Sports Club Management System" 项目的 /dashboard/admin/change_s_pwd.php 文件中发现了一个严重的 SQL 注入漏洞。该漏洞是由于 'login_id' 参数的用户输入验证不足导致的,允许攻击者注入恶意的 SQL 查询。因此,攻击者可以获得对数据库的未经授权访问,修改或删除数据,并访问敏感信息。 漏洞细节和 POC 漏洞参数: 'login_id' Payload 示例: 建议修复方案 1. 使用预编译语句和参数绑定: - 准备语句可以防止 SQL 注入,因为它将 SQL 代码与用户输入数据分开。 2. 输入验证和过滤: - 严格验证和过滤用户输入数据,确保其符合预期格式。 3. 最小化数据库用户权限: - 确保连接数据库的账户具有最小的必要权限。 4. 定期进行安全审计: - 定期进行代码和系统安全审计,及时发现和修复潜在的安全漏洞。