sourcecodester SUP Online Shopping Project V1.0 /admin/message.php SQL injection #11 漏洞概述 漏洞类型:SQL 注入 (SQL injection) 受影响产品:SUP Online Shopping V1.0 漏洞文件: 漏洞位置:参数 利用条件:无需登录或授权即可利用 根本原因: 文件中的 参数未对用户输入进行适当的验证或过滤,导致攻击者可以注入恶意 SQL 查询。 影响范围 攻击者可以未经授权访问数据库。 导致敏感数据泄露。 篡改或删除数据。 完全控制系统。 中断服务。 修复方案 1. 使用预处理语句和参数绑定:预处理语句将 SQL 代码与用户输入数据分离,有效防止 SQL 注入。 2. 进行输入验证和过滤:严格验证和过滤用户输入数据,确保其符合预期格式,从而阻止恶意输入。 3. 最小化数据库用户权限:确保用于连接数据库的账户仅拥有最低限度的权限,避免使用具有提升权限(如 root 或 admin)的账户进行日常操作。 POC 代码 Payload: Vulnerability Request Packet:**