关键信息总结 产品信息 供应商: PHPGurukul 项目页面: https://phpgurukul.com/credit-card-application-management-system-using-php-and-mysql/ 受影响版本: ≤ v1.0 测试环境: Windows 10 / Kali Linux 2024.4 漏洞详情 类型: SQL 注入 (基于时间的盲注) CVE ID: CWE-89 严重性: 高 (CVSS 3.1 分数: 8.8) 易受攻击的参数 (POST) 请求示例 参数注入点 参数在 MySQL ≥ 5.0.12 中存在基于时间的盲注漏洞。 影响 未授权(或低权限)攻击者可以通过利用基于时间的 SQL 注入负载从后端 MySQL(MariaDB)数据库中提取敏感数据,包括管理员凭据。 建议 使用参数化查询(例如 PDO、mysqli 预处理语句)。 严格验证和清理所有用户输入。 部署 Web 应用防火墙 (WAF) 规则以检测和阻止 SQL 注入尝试。 启用日志记录和警报以监控可疑登录尝试。