漏洞总结:sourcecodester SUP Online Shopping Project V1.0 SQL注入 漏洞概述 漏洞类型:SQL注入 (SQL Injection) 受影响产品:SUP Online Shopping V1.0 漏洞文件: 漏洞位置:参数 利用条件:无需登录或授权即可利用 根本原因: 参数未经验证直接拼接到 SQL 查询中,导致攻击者可注入恶意 SQL 语句。 影响范围 攻击者可以未经授权访问数据库。 可能导致敏感数据泄露、数据篡改或删除。 可能破坏系统正常运行,对业务连续性构成严重威胁。 修复方案 1. 使用预编译语句和参数绑定:将 SQL 代码与用户输入数据分离。 2. 实施输入验证和过滤:严格校验输入数据格式,拦截恶意输入。 3. 最小化数据库用户权限:连接数据库的账户应仅拥有最低必要权限,避免使用 root/admin 等高权限账户进行日常操作。 POC代码 Payload: Vulnerability Request Packet:**