关键信息 受影响产品 名称: Online Blood Bank Management System in PHP with Source Code 版本: V1.0 链接: https://rsourcecode.com/free-projects/php-project/online-blood-bank-management-system-in-php-with-source-code/ 漏洞详情 类型: SQL Injection 文件: /admin/delete.php 参数: search (POST) 原因: 未对用户输入的'search'参数进行适当清理或验证,直接用于SQL查询。 影响 攻击者可利用此漏洞未经授权访问数据库、篡改数据、敏感数据泄露、系统控制和中断服务,严重威胁系统安全和业务连续性。 利用方式 无需登录或授权即可利用此漏洞。 Payload示例: - MySQL >= 5.1: - MySQL < 5.0.12: 建议修复措施 1. 使用预编译语句和参数绑定。 2. 输入验证和过滤。 3. 最小化数据库用户权限。 4. 定期安全审计。