关键信息 受影响的产品 OnlineReviewerSystem 供应商主页 [](https://code-projects.org/online-reviewer-system-in-php-with-source-code/) 受影响或已修复的版本 V1.0 漏洞文件 /index.php 漏洞类型 SQL injection 根本原因 在 "Online Reviewer System" 项目的 "login/index.php" 文件中发现了一个 SQL 注入漏洞。根本原因在于攻击者可以通过 "username" 和 "password" 参数注入恶意代码。此输入未经过适当的清理或验证过程,直接用于 SQL 查询。因此,攻击者能够伪造输入值,操纵 SQL 查询,并执行未经授权的操作。 影响 利用此 SQL 注入漏洞可使攻击者未经授权访问数据库,导致敏感数据泄露、篡改数据、完全控制系统、甚至中断服务。这对系统的安全性和业务运营的连续性构成严重威胁。 描述 在对 "Online Reviewer System" 进行安全评估期间,在 "login/index.php" 文件中检测到一个严重的 SQL 注入漏洞。此漏洞归因于对 "username" 和 "password" 参数的用户输入验证不足。这种不足使攻击者能够注入恶意的 SQL 查询。 无需登录或授权即可利用此漏洞 漏洞详细信息和 PoC 漏洞位置: "username,password" 参数 Payload: 漏洞请求包 修复建议 1. 使用预编译语句和参数绑定