高校问答证券法第五条:请教:做一留言本,但可直接输地址绕过数据库进管理页面,这是所谓的数据库注入(载入)漏洞吗,应该怎么办?
来源:百度文库 编辑:高校问答 时间:2024/05/05 05:12:16
直接输入地址显示“你不是管理员,无权进入”
但是后面加page=1就直接进入了!
例子:
正常:http://www.4808.com/xiangbin3
不可以进入:http://www.4808.com/xiangbin3/manager.asp
直接进去:
http://www.4808.com/xiangbin3/manager.asp?pages=1
关键是我要在哪个文件加入什么代码~?
很菜,我也不懂,老大你能不能去我说的这个站下个单用户的程序帮我看下~?
但是后面加page=1就直接进入了!
例子:
正常:http://www.4808.com/xiangbin3
不可以进入:http://www.4808.com/xiangbin3/manager.asp
直接进去:
http://www.4808.com/xiangbin3/manager.asp?pages=1
关键是我要在哪个文件加入什么代码~?
很菜,我也不懂,老大你能不能去我说的这个站下个单用户的程序帮我看下~?
不是这个不是数据库注入
用户可以提交一段数据库查询代码,根
据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入
可以用一些数据库注入工具
session 你有没有设置好呢。。