关键信息 形响产品 产品名称: Online Music Site 版本: V1.0 厂商主页: https://code-projects.org/online-music-site-in-php-with-source-code/ 漏洞信息 漏洞类型: SQL Injection 漏洞文件: AdminReply.php 影响参数: "id" 提交者: yu_ji 根因 问题描述: - 攻击者可以通过参数 "id" 注入恶意代码,未经适当 sanitization 或 validation 直接用于 SQL 查询,导致未经授权的数据操作、数据泄露、系统控制等。 影响 未经授权的数据库访问、数据泄露、数据篡改、系统控制、服务中断等。 漏洞说明及POC Payload示例: 漏洞请求包示例 修复建议 1. 使用预编译语句和参数绑定: 防止将用户输入与SQL代码混淆,为SQL注入提供有效防护。 2. 执行输入验证和过滤: 确保用户输入符合预期格式,过滤掉恶意输入。 3. 最小化数据库用户权限: 使用仅具必要权限的数据库账号连接,避免使用高权限账户用于日常操作。