漏洞关键信息 受影响的产品 Online Reviewer System 产品主页: https://code-projects.org/online-reviewer-system-in-php-with-source-code/ 受影响的文件 版本 V1 漏洞类型 SQL注入 根因 在 文件中,攻击者可以通过 参数注入恶意代码,该输入在SQL查询中直接使用而没有经过适当的验证或过滤,导致未经授权操作的执行。 影响 利用此SQL注入漏洞,攻击者可以未经授权访问数据库,导致敏感数据泄露、篡改数据、完全控制系统,甚至中断服务,对系统安全和业务连续性造成严重威胁。 漏洞细节和POC 参数: (POST) 漏洞位置: 参数 攻击载荷: - 布尔盲注: - 错误注入: - 堆叠查询: - 时间盲注: - 联合查询: 请求包 建议修复 1. 使用预编译语句和参数绑定 2. 执行输入验证和过滤 3. 最小化数据库用户权限