『壹』 以下哪個選項是phpcms中存在sql注入漏洞的欄位
SQL注入漏洞有哪些 SQL注入攻擊是當今最危險、最普遍的基於Web的攻擊之一。所謂注入攻擊,是攻擊者把SQL命令插入到Web表單的輸入域頁面請求的查詢字元串中,如果要對一個網站進行SQL注入攻擊
『貳』 PHPCMS,怎麼$this->db->insert($info);列印這個完整sql語句求指點
如果是調試程序的話,在phpcms/libs/classes/mysql.class.php 這個文件里的
private function execute($sql) {
這行下面加上
echo $sql;
exit();
『叄』 阿里雲又提示網站被注入了,phpcms真有問題嗎
是的 PHPCMS V9版本帶有很多注入漏洞以及本地包含文件漏洞 以及上傳漏洞等等。
『肆』 求phpcms 通過執行sql語句添加管理員
INSERT INTO `phpcmsv9`.`v9_admin`(`userid`,`username`,`password`,`roleid`,`encrypt`,`lastloginip`,`lastlogintime`,`email`,`realname`,`card`,`lang`) VALUES ( NULL,'admin','','1','TPTUni',NULL,'0',NULL,'','','');
帳號:admin
密碼:phpcms
『伍』 phpcms他媽的怎麼直接使用 sql
在前端模板裡面,直接使用get萬能標簽來執行sql命令。
例如:
{pc:get sql="select * from phpcms_table" num="5"}
在後台php程序裡面,採用mvc模式,主要流程是,對於你的數據表在phpcms/model/目錄下簡歷模型文件,然後在控制器類里通過$db = pc_base::load_model("tablename_model")方法來引入此模型來創建對象,那麼就可以使用使用model.class.php裡面的資料庫操作方法了。
例如:
$data=$db->select("catid=3","title,inputtime");這樣來執行查詢。可以使用query方法直接執行sql命令,例如:
$db->query("select*fromphpcms_newswherecatid=3andstatus=99");。
PS:model.class.php目錄是phpcms/libs/class/model.class.php
『陸』 phpcms v9 如何避免sql注入
校驗特殊字元
『柒』 求phpcms v9的資料庫增刪改查 是怎麼實現的
表明默認當前load_model('xxxx')模塊所在表名xxxx
若要指定表名 則:操作在mysql.class.php中$this->db->select(...)
1、查詢
$this->select($where = '', $data = '*', $limit = '', $order = '', $group = '', $key='') 返回結果集數組
條件 ,欄位(id,name,email....),范圍 排序方式,分組方式,按建名排序
2、查詢多條數據並分頁
listinfo($where = '', $order = '', $page = 1, $pagesize = 20, $key='', $setpages = 10,$urlrule = '',$array = array())
3、獲取單條記錄查詢
get_one($where = '', $data = '*', $order = '', $group = '')
4、直接執行sql查詢
query($sql);
5、獲取最後一次添加記錄的主鍵號 insert_id()
6、執行更新記錄操作 update($data, $where = '') $data 建議為數組,$where 可為數組可為字元串
7、執行刪除記錄操作 delete($where)
8、計算記錄數 count($where = '')
9、獲取最後資料庫操作影響到的條數 affected_rows()
10、獲取數據表主鍵 get_primary()
11、獲取表欄位 get_fields($table_name = '')
12、檢查表是否存在 table_exists($table)
13、 檢查欄位是否存在 field_exists($field)
更多問題可以去php中文網問答社區提問,大神在線幫你解決,希望對你有幫助
『捌』 如何修復 phpcms9.60 sql注入漏洞
如何修復 phpcms9.60 sql注入漏洞
漏洞是指應用軟體或操作系統軟體在邏輯設計上的缺陷或在編寫時產生的錯誤,
這個缺陷或錯誤可以被不法者或者電腦黑客利用。修補漏洞,可以用騰訊電腦管家,
修復漏洞,強大智能的漏洞修復工具,全面修復微軟系統漏洞和第三方軟體漏洞。
『玖』 phpcms 怎麼往資料庫添加數據
推薦你用:萬網M3型空間:可免費試用,獨立IP,多線機房,300M空間,50M的MSSQL或MYSQL,WIN2003支持ASP/NET/ MSSQL2000,UNIX支持PHP4/5/MYSQL5,免費提供備案平台服務。
國際頂級英文域名:60元(續費65元)
可咨詢我們在線客服,享受優惠。我們已為25000多家用戶提供了6年多優秀服務,更專業,更穩定。聯系方式請點擊我的用戶名——用戶資料。
『拾』 伺服器裝什麼軟體 phpcms注入漏洞
本文利用了PHPCMS V9的兩個漏洞,一個是讀取任意文件漏洞,另一個是模版運行php腳本漏洞。使用到的工具:Navicat for Mysql/IE瀏覽器(建議使用代理)/湛藍v9代碼包(包含文中使用到的所有文件、代碼和木馬)
1、放置data.txt以備在目標站點讀取並在目標站點生成PHP木馬腳本使用。
例如將data.txt放置在yun..com/j0192/data.txt
2、通過v9漏洞獲取配置信息(請參閱:phpcms V9最新讀取站點任意文件漏洞http://skyhome.cn/phpcms/176.html)。
/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php
3、通過v9系統漏洞獲取到的資料庫信息遠程登陸目標站點資料庫,在v9_admin和v9_sso_admin表中添加賬號
username欄位:admn
password欄位:
encrypt 欄位:bGV22e
issuper 欄位: 1
4、通過資料庫添加管理員賬號後使用以下用戶名密碼在後台登陸,然後修改當前用戶密碼。
用戶名:admn
密碼:123456
5、ctrl+a復制write.php全部內容粘貼進v9默認模版下的footer.html保存,然後點擊footer.html的可視化運行該模版中的腳本,到此時就完成在目標站點生成木馬腳本。
6、打開ifeng.com/caches/caches_template/default/wap/data.class.php
用戶名:admin
密碼:admin
7、隱藏新增加的管理員。
通過木馬腳本上傳替換/phpcms/moles/admin/admin_manage.php(默認匹配%admn%),然後登陸目標站點後台查看管理員列表是否還有用戶名為admn的超級管理員,如果沒有則表明我們完成了新加管理員的隱藏。
8、隱藏新增加的關聯鏈接
通過木馬腳本上傳替換/phpcms/moles/admin/keylink.php((默認匹配%skyhome%))
9、將目標網站的漏洞修復,以防其他黑客入侵。
通過木馬腳本上傳替換/phpcms/moles/search/index.php
防黑參考:
1、關閉資料庫遠程訪問。
2、靜態文件及附件等文件目錄禁止執行許可權。
3、腳本文件目錄禁止寫許可權。
4、系統後台等重要目錄限制IP訪問。
5、及時關注開源系統官方補丁升級和烏雲、sebug等漏洞發布平台,修復系統漏洞。