漏洞关键信息 Title: code-projects Online Application System for Admission in PHP unknown SQL Injection Description: - 存在一个SQL注入漏洞,允许攻击者通过直接拼接用户控制的输入到查询中,绕过参数化查询或适当的输入验证。 - 示例受影响的脚本包括:enrollment/index.php, enrollment/adminlogin.php, 和 enrollment/signupconfirm.php。 - 攻击者可以通过在表单字段中注入特制的SQL有效载荷(如登录或搜索输入)来篡改预期的SQL逻辑,可能导致认证绕过、敏感数据的未授权披露、数据库记录的修改或删除以及权限提升。 Proof-of-Concept: - POST到登录端点,数据为: - u_id: admin' OR '1'='1 - u_ps: anything - 该注入的条件(' OR '1'='1)导致WHERE子句始终评估为true,可能绕过认证。 Impact: - 认证绕过(包括管理账户) - 数据泄露(敏感用户记录) - 数据篡改或删除 - 根据数据库权限的潜在横向移动或进一步利用 Additional Information: - User: imcoming (UID 95032) - Submission: 01/30/2026 10:58 AM (9 days ago) - Moderation: 02/07/2026 03:52 PM (8 days later) - Status: Accepted - VulDB Entry: 344873 [code-projects Online Application System for Admission 1.0 Login Endpoint enrollment/index.php sql injection] - Points: 17