首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

BBSGood论坛程序SQL注入漏洞

作者:小森林 | 来源:互联网 | 2017-11-11 15:56
BBSGood论坛程序indexlabel.asp和labelsave.asp页面存在SQL注入漏洞在文件indexlabel.asp中:sqlselecttop1Admin,UserName,Passwordfrombbsgood_AdminwhereUserNameRequest.Cookies(bbsinfoadminuser)第115行SetrsServer.CreateObject

BBSGoodbbs' target='_blank'>论坛程序indexlabel.asp和labelsave.asp页面存在SQL注入漏洞

在文件indexlabel.asp中:
 
sql="select top 1 Admin,UserName,Password from bbsgood_Admin where UserName='"&Request.COOKIEs(bbsinfo&"adminuser")&"' " //第115行
 
Set rs = Server.CreateObject("ADODB.Recordset")
 

程序没有验证用户是否登陆,导致COOKIEs的值没有过滤而产生注入漏洞

在文件labelsave.asp中:
sql="select top 1 Admin,UserName,Password from BBSGood_Admin where UserName='"&Request.COOKIEs(bbsinfo&"adminuser")&"' " //第115行
程序没有验证用户是否登陆,导致COOKIEs的值没有过滤而产生注入漏洞

推荐阅读
  • 注入

    深入理解 SQL 视图、存储过程与事务

    深入理解 SQL 视图、存储过程与事务
    本文详细介绍了SQL中的视图、存储过程和事务的概念及应用。视图为用户提供了一种灵活的数据查询方式,存储过程则封装了复杂的SQL逻辑,而事务确保了数据库操作的完整性和一致性。 ... [详细]
  • 注入

    MyBatis:深入解析与应用

    在当前众多持久层框架中,MyBatis(前身为iBatis)凭借其轻量级、易用性和对SQL的直接支持,成为许多开发者的首选。本文将详细探讨MyBatis的核心概念、设计理念及其优势。 ... [详细]
  • 注入

    MySQL缓存机制深度解析

    MySQL缓存机制深度解析
    本文详细探讨了MySQL的缓存机制,包括主从复制、读写分离以及缓存同步策略等内容。通过理解这些概念和技术,读者可以更好地优化数据库性能。 ... [详细]
  • text

    精选30本C# ASP.NET SQL中文PDF电子书合集

    精选30本C# ASP.NET SQL中文PDF电子书合集
    欢迎订阅我们的技术博客,获取更多关于C#、ASP.NET和SQL的最新资讯和资源。 ... [详细]
  • input

    Hadoop入门与核心组件详解

    Hadoop入门与核心组件详解
    本文详细介绍了Hadoop的基础知识及其核心组件,包括HDFS、MapReduce和YARN。通过本文,读者可以全面了解Hadoop的生态系统及应用场景。 ... [详细]
  • default

    PostgreSQL中的模式管理

    本文由瀚高PG实验室撰写,详细介绍了如何在PostgreSQL中创建、管理和删除模式。文章涵盖了创建模式的基本命令、public模式的特性、权限设置以及通过角色对象简化操作的方法。 ... [详细]
  • request

    Python 爬虫基础教程及代码实例

    根据最新发布的《互联网人才趋势报告》,尽管大量IT从业者已转向Python开发,但随着人工智能和大数据领域的迅猛发展,仍存在巨大的人才缺口。本文将详细介绍如何使用Python编写一个简单的爬虫程序,并提供完整的代码示例。 ... [详细]
  • request

    SQL数据库面试题解析

    本文深入探讨了SQL数据库中常见的面试问题,包括如何获取自增字段的当前值、防止SQL注入的方法、游标的作用与使用、索引的形式及其优缺点,以及事务和存储过程的概念。通过详细的解答和示例,帮助读者更好地理解和应对这些技术问题。 ... [详细]
  • config

    MySQL 数据库迁移指南:从本地到远程及磁盘间迁移

    MySQL 数据库迁移指南:从本地到远程及磁盘间迁移
    本文详细介绍了如何在不同场景下进行 MySQL 数据库的迁移,包括从一个硬盘迁移到另一个硬盘、从一台计算机迁移到另一台计算机,以及解决迁移过程中可能遇到的问题。 ... [详细]
  • config

    FireDAC 中 FDMEMTable 字段的自动获取方法

    本文介绍如何在 FireDAC 环境下实现 FDMEMTable 字段的自动获取,为开发人员提供便捷的数据处理方式。 ... [详细]
  • config

    openGauss每日一练:第6天 - 模式的创建、修改与删除

    openGauss每日一练:第6天 - 模式的创建、修改与删除
    本篇笔记记录了openGauss数据库中关于模式(Schema)的创建、修改和删除操作。通过这些操作,用户可以更好地管理和控制数据库对象。实验环境为openGauss 2.0.0,并使用由墨天轮提供的线上环境。 ... [详细]
  • email

    MySQL LAST_INSERT_ID() 函数深入解析

    本文详细介绍了 MySQL 中 LAST_INSERT_ID() 函数的使用方法及其工作原理,包括如何获取最后一个插入记录的自增 ID、多行插入时的行为以及在不同客户端环境下的表现。 ... [详细]
  • text

    深入解析三大范式与JDBC集成

    深入解析三大范式与JDBC集成
    本文详细探讨了数据库设计中的三大范式,并结合Java数据库连接(JDBC)技术,讲解如何在实际开发中应用这些概念。通过实例和图表,帮助读者更好地理解范式理论及其在数据操作中的重要性。 ... [详细]
  • text

    网易严选Java开发面试:MySQL索引深度解析

    网易严选Java开发面试:MySQL索引深度解析
    本文详细记录了网易严选Java开发岗位的面试经验,特别针对MySQL索引相关的技术问题进行了深入探讨。通过本文,读者可以了解面试官常问的索引问题及其背后的原理。 ... [详细]
  • text

    科研单位信息系统中的DevOps实践与优化

    科研单位信息系统中的DevOps实践与优化
    本文探讨了某科研单位通过引入云原生平台实现DevOps开发和运维一体化,显著提升了项目交付效率和产品质量。详细介绍了如何在实际项目中应用DevOps理念,解决了传统开发模式下的诸多痛点。 ... [详细]
author-avatar
小森林
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有