演示：点击进入填同学录

用别人的分销弄的，大概很不安全

如果已经填了的人不想让别人看到自己的信息，请@我，我帮你删除，如果里面没填昵称，我也不知道怎样验证真假

原来的数据库已清空，所以，尽情地攻击这个同学录吧，@洋 你找漏洞挺厉害的，试试能不能进入这个同学录的后台吧，帮忙提一些改进安全性的建议可以吗

1. @CFUNC，注入啊注入
http://520.nzqq.ml/hu60/gongkai.php?a=1&act=read&name=27206F722069643D312D2D
xss啊xss
http://520.nzqq.ml/hu60/gongkai.php?a=1&act=read&name=e697a9e4ba9be4bc91e681af

2. 后台……不知道你怎么验证密码的，硬编码到文件？还有上传图片，不知道你改名字没，还有存放目录的权限改没有

3. 专业挖坟

4. 楼上没勾勾

5. @姬长信，吔屎啦