漏洞总结 1. 漏洞概述 漏洞名称: phpgurukul(Hospital Management System In PHP) Sql injection in index.php (Authenticated) 厂商: phpgurukul (https://phpgurukul.com/) 受影响产品: Hospital Management System In PHP 受影响版本: 4.0 发现者: Lê Quốc Bảo & Ngô Thái An - HPT Vietnam Corporation 漏洞描述: 经过认证的 SQL 注入漏洞,允许用户利用此漏洞。 2. 影响范围 严重程度: 8.5 / High (CVSS v3.1 Vector AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:L) 具体影响: 攻击者可执行任意 SQL 命令,导致数据库完全被攻破。 提取敏感数据,包括用户凭证。 修改或删除数据库内容。 通过数据库函数潜在执行代码。 漏洞代码位置: 3. 修复方案 (注:截图中未提供具体修复代码,但基于漏洞类型建议) 针对 文件中的 SQL 注入漏洞进行修复。 建议对所有用户输入的数据进行严格的过滤和验证。 使用预编译语句(Prepared Statements)或参数化查询来替代直接拼接 SQL 语句。 4. 利用代码 (PoC)