以下是markdown格式的关键信息: 漏洞关键信息 基本信息 项目名称: BLOG_SITE_IN_PHP_WITH_SOURCE_CODE 受影响文件: resources/functions/blog.php, edit_post.php 详细描述 漏洞位置: 函数,位于 ,该函数使用了 对 和 进行转义,但由于依赖于已废弃且不安全的 扩展,因此防御机制存在不足。 问题核心: 宽字节注入风险。当数据库连接使用如 GBK 或 BIG5 这样的多字节字符集时,攻击者可以通过在恶意负载前添加特定的引导字节(如 ),造成 在遇到单引号时无法正确转义,引发SQL注入。 影响 1. 逻辑绕过: 攻击者可提供导致 函数返回真或假的负载,绕过 的输入验证。 2. 数据操纵: 成功注入后,攻击者可执行任意SQL命令,包括对 表的数据读取、修改、删除等,甚至执行堆叠查询来影响数据库中其他表的数据,造成完整数据库泄露或数据完整性丧失。 受影响代码片段 中的 函数: 文件中使用 进行验证的代码: