关键信息 漏洞描述 漏洞类型: SQL Injection 受影响页面: /admin/view-appointment.php 易受攻击参数: viewid 环境信息 测试平台: PHP, Apache, MySQL 版本: 1.0 厂商主页: https://www.campcodes.com/projects/online-beauty-parlor-management-system/ 漏洞细节 代码片段: 问题: 直接使用了用户输入的 参数,没有进行任何过滤或转义,导致SQL注入。 漏洞验证 请求示例: SQLMap测试结果: - 参数: viewid (GET) - 注入点: AND boolean-based blind - WHERE or HAVING clause - 数据库: MySQL 5.0.12 - 表名: tblappointment - 列数: 9 - 列名: TId, ClientId, AppointmentDate, AppointmentTime, Status, Remark, CreatedBy, CreatedDate, ModifiedDate 影响 攻击者可以通过控制 参数执行任意SQL查询,可能获取敏感数据、修改数据库内容或进一步控制服务器。