久游网某商场SQL盲注及解决方案

对于大型游戏网站,注入危害是很大的,比如我在道具里插入一条增加游戏金币的数据。将金币低价卖给土豪。

影响URL:http://lhshop.9you.com/itemlist.php?pid=1&type=【注入点】&sex=2&s=11

影响数据库,命令--dbs --level=1
 

912.jpg

数据库“lhshop”的表:
 

911.jpg

 

解决方案:

构造SQL查询时,请使用参数化查询、验证输入对用户输入的数据进行全面安全检查或过滤,尤其注意检查是否包含HTML特殊字符。这些检查或过滤必须在服务器端完成,建议过滤的常见危险字符。