蜗蜗侠's Blog-关注网络安全移动版

主页 > 代码审计 >

ecshop /admin/shopinfo.php SQL注入

测试版本v3.0.0 RELEASE 20160518

文件/admin/shopinfo.php中107-109行

 

由于这里

 

没有对传入对id进行处理,直接带入了sql语句导致了注入的发生
1
初初查看,由于全局加载了init.php

还以为无法继续执行的。其中发现了updatexml貌似没有在其中,所以还是可以继续出内容的
1

(责任编辑:蜗蜗侠)