受影响产品名称 ONLINE MUSIC SITE 厂商主页 https://code-projects.org/online-music-site-in-php-with-source-code/ 影响版本/修复版本 V1.0 软件链接 https://download.code-projects.org/details/ca1f3de2-bbe1-4b04-9182-00170c6ca886 漏洞类型 SQL 注入 根因 在 "AdminDeleteUser.php" 文件中,攻击者可以通过 "id" 参数注入恶意代码。输入值直接用于 SQL 查询而未进行适当的清理或验证,从而导致 SQL 注入。 影响 攻击者可以未经授权访问数据库、造成数据泄露、篡改数据、控制系统甚至中断服务,对系统安全和业务连续性构成严重威胁。 描述 "AdminDeleteUser.php" 文件中存在 SQL 注入漏洞,攻击者通过 "id" 参数注入代码并操纵 SQL 查询,执行未经授权的操作。 漏洞细节和漏洞利用证明 (POC) 漏洞位置: "id" 参数 Payload示例: 请求包示例: 修补建议 1. 使用预处理语句和参数绑定。 2. 实施严格的输入验证和过滤。 3. 确保数据库用户权限最小化。