ThinkOX 最新版 SQL 注入漏洞 #4

/Application/Shop/Controller/IndexController.class.php

商品的id未经过过滤,并且用拼接的方式带入where查询,导致注入。
_(:з」∠)_为什么address和address_id过滤了id却不过滤呢。。

用户登录后访问地址:

然后再访问:

sql

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录