Pizzafy Ecommerce System 1.0 SQL注入漏洞总结 漏洞概述 漏洞类型:SQL注入(基于错误) 严重程度:HIGH 受影响端点: 触发方式:POST请求 漏洞成因: 参数在 操作中未进行适当的清理(Sanitization),导致攻击者可以注入恶意SQL语句。 影响范围 枚举数据库名称、表结构和列详情。 提取敏感数据(如用户名和密码哈希)。 修改或删除数据库中的关键记录。 通过检索和滥用会话相关数据,可能提升权限。 修复方案 使用预处理语句(Prepared Statements)来替代直接拼接SQL字符串,以防止SQL注入。 修复代码 (FIX CODE) POC / 利用代码 请求示例: 原始Payload(URL解码后):**