彩虹网络任务小漏洞 - 超级灌水

标题: 彩虹网络任务小漏洞

作者: Ta @Ta

时间: 2015-05-02

点击: 6993

看斯凯改版权，拿他看看。
http://g.mrpyx.cn/index.php?mod=chat
1。先做个饼：→千层饼','☆_☆)<h1','站长','不说')#

2。哟，整齐大方。

3。I eat。

4。小穿越（没穿好额。）穿越--Ta','2999-05-02 23:22:45','站长','不说')#

手段：
SQL注入

“吃”的语句：
替你清清--Ta','<!--','站长','不说')#

↑↑↑语句 ↑
<!-- → 吃掉了

建议preg_match出用户的'或#进行阻止。
提醒广发虎友，已开源的程序要注意是否有SQL注入漏洞哦。
360网站卫士没有屏蔽html注释的说。
你可以写进去

[隐藏样式|查看源码]

1 . 咋做饼，我也要做

(冷寂/@Ta/2015-05-02 22:01/样/源)

2 . @Ta，你应该是用的浏览器的审核元素改的页面吧，这个不是漏洞

(消失的彩虹海/@Ta/2015-05-02 22:29/样/源)

3 . @net909，额，去原站看

(Ta/@Ta/2015-05-02 22:44/样/源)

4 . @net909，要不我去你网站做个大饼。

(Ta/@Ta/2015-05-02 22:47/样/源)

5 . @net909，好吧，炫彩版不是大饼

(Ta/@Ta/2015-05-02 22:53/样/源)

6 . @Ta，这个是怎么弄的？到底什么漏洞？

(消失的彩虹海/@Ta/2015-05-02 22:57/样/源)

7 . @Ta，没看懂

(老子会游泳/@Ta/2015-05-02 23:16/样/源)

8 . @老子会游泳，...

(Ta/@Ta/2015-05-02 23:23/样/源)

9 . @Ta，好了，已修复。

(消失的彩虹海/@Ta/2015-05-02 23:23/样/源)

10 . @net909，恩呢

(Ta/@Ta/2015-05-02 23:25/样/源)

11 . @Ta，不知道怎么玩。

(大药瓶子/@Ta/2015-05-03 00:38/样/源)

12 . 没看懂

(红/@Ta/2015-05-03 08:08/样/源)

13 . htmlspecialchars()解决

(读书顶个鸟用/@Ta/2015-05-03 09:39/样/源)

14 . @红，@老子会游泳，时间。

(老虎会不会游泳/@Ta/2015-05-03 10:57/样/源)

15 . @Ta，能帮我看看我的论坛有漏洞吗？

(小男生/@Ta/2015-05-03 11:02/样/源)

16 . @读书顶个鸟用，无效，这个钻的是SQL语句，时间，IP，可以自己写进入。htmlspecialchars()只是浅层面上的阻止它被浏览器解读。

(Ta/@Ta/2015-05-03 11:50/样/源)

17 . @大药瓶子eoo，聊天室发的内容

(Ta/@Ta/2015-05-03 11:51/样/源)

18 . @小男生，。。没空了。你看看用户可以提交哪些内容，对应处理的SQL有没有可能被注入。(update,del语句还是很危险的。，彩虹这只是insert。)我只看了彩虹的聊天室额。

(Ta/@Ta/2015-05-03 11:53/样/源)

19 . @Ta，转义替换

(大药瓶子/@Ta/2015-05-03 12:01/样/源)