Ecmall某建站模板搜索框SQL注射

http://www.tuutao.com/index.php 土淘网

用的Ecmall的建站模板,用过这个模板的应该都通杀了吧

存在搜索框注入,注入点为:

http://www.tuutao.com/index.php?app=store&act=search&id=45&keyword=aaa&min_price=100&max_price=10000

首先将获取get传来的参数,然后组合到一个sql查询语句condition中:
1.search.app.php中的这段代码就是构建查询min和max价格的sql代码,没有过滤:

2.下面这部分代码是query执行部分,直接将上面的参数带入查询了:

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录