关键信息 标题: code-projects Contact Management System in Python unknown SQL Injection 描述: 存在SQL注入漏洞,在Contact Management System的Contact Management/index.py文件中,DELETE语句是直接使用从GUI选择中获取的值通过Python字符串格式化构建的。代码将selectedItem[0]直接格式化到SQL命令中,而不是使用参数化查询,这是一个不安全的编码模式。如果攻击者可以影响mem_id值(例如通过篡改UI数据或填充tree的数据源),这可能会导致对本地SQLite数据库执行意外的SQL语句,导致未授权的数据删除、修改或暴露。应用在本地的pythontut.db SQLite文件中存储了个人数据(如名字、姓氏、地址、联系人等),因此如果数据库被操纵或访问,会增加数据的机密性和完整性风险。 证据(代码摘录): - index.py: Lines 170-176 受影响的组件: Contact Management/index.py (上述DELETE路径) 影响: 未经授权的数据删除/修改和潜在的本地存储PII的数据披露。 严重程度: 高 提交详情: - 用户: incoming (UID 95032) - 提交时间: 2022-01-30 11:47AM(9天前) - 审核时间: 2022-02-07 04:00PM(8天后) - 状态: 已接受 - VulDB条目: 344877 [code-projects Contact Management System 1.0 index.py selecteditem[0] sql injection] 积分: 17