无码纯肉在线|精品一区在线无码|亚洲国产婷婷六|视频一区二区中国孕妇性

PHPWEB成品網(wǎng)站，版面較好，看起來比較大氣，而且支持可視化操作及拖拽，得到越來越多的企業(yè)及網(wǎng)絡(luò)公司青睞。

   但是程序本身存在一個(gè)致命的漏洞，可以通過SQL注入的方式輕松進(jìn)入管理員控制后臺(tái)。

   比如網(wǎng)站的域名是xxxx.com,那么后臺(tái)登陸地址應(yīng)該是xxxx.com/admin.php,如下圖：

用戶名和密碼都輸入admin 'or '1'='1  然后輸入相對(duì)應(yīng)的圖形驗(yàn)證碼，點(diǎn)"管理員登陸"按鈕，即可繞過管理登陸驗(yàn)證，成功進(jìn)入管理員控制后臺(tái)。

   這種低級(jí)漏洞出現(xiàn)在流行的PHPWEB成品網(wǎng)站上，實(shí)屬開發(fā)及測(cè)試人員不負(fù)責(zé)的心態(tài)，我也是做程序開發(fā)的，這種低級(jí)錯(cuò)誤只是在剛開始工作的時(shí)候會(huì)犯。不清楚*新的PHPWEB成品網(wǎng)站是否已經(jīng)修復(fù)此漏洞，如果還沒有，希望能盡快修復(fù)。也希望廣大的站長朋友們注意下，實(shí)在修復(fù)不了，更改后臺(tái)登陸地址也是一個(gè)不錯(cuò)的解決方式，但是還是治標(biāo)不治本。

【注：新版本已修復(fù)此漏洞】

   還有一種方法是查看使用phpweb的網(wǎng)站有沒有刪除安裝目錄。

   xxxx.com/base/install/ 百分之八十*九十使用的破解版的，安裝是會(huì)直接跳過驗(yàn)證的，輸入mysql數(shù)據(jù)庫連接信息就能直接安裝，有些菜鳥站長經(jīng)常會(huì)忘記刪除安裝目錄，如果上面一個(gè)方法不能用，可以試一下這個(gè)方法。我差不多試了10多個(gè)網(wǎng)站，有7、8個(gè)都存在這樣的問題