午夜婷婷国产麻豆精品,精品人妻一区二区三区四区不卡,精品女同一区二区三区在线,亚洲综合精品香蕉久久网

PHPWEB成品網(wǎng)站，版面較好，看起來比較大氣，而且支持可視化操作及拖拽，得到越來越多的企業(yè)及網(wǎng)絡(luò)公司青睞。

   但是程序本身存在一個致命的漏洞，可以通過SQL注入的方式輕松進(jìn)入管理員控制后臺。

   比如網(wǎng)站的域名是xxxx.com,那么后臺登陸地址應(yīng)該是xxxx.com/admin.php,如下圖：

用戶名和密碼都輸入admin 'or '1'='1  然后輸入相對應(yīng)的圖形驗證碼，點"管理員登陸"按鈕，即可繞過管理登陸驗證，成功進(jìn)入管理員控制后臺。

   這種低級漏洞出現(xiàn)在流行的PHPWEB成品網(wǎng)站上，實屬開發(fā)及測試人員不負(fù)責(zé)的心態(tài)，我也是做程序開發(fā)的，這種低級錯誤只是在剛開始工作的時候會犯。不清楚*新的PHPWEB成品網(wǎng)站是否已經(jīng)修復(fù)此漏洞，如果還沒有，希望能盡快修復(fù)。也希望廣大的站長朋友們注意下，實在修復(fù)不了，更改后臺登陸地址也是一個不錯的解決方式，但是還是治標(biāo)不治本。

【注：新版本已修復(fù)此漏洞】

   還有一種方法是查看使用phpweb的網(wǎng)站有沒有刪除安裝目錄。

   xxxx.com/base/install/ 百分之八十*九十使用的破解版的，安裝是會直接跳過驗證的，輸入mysql數(shù)據(jù)庫連接信息就能直接安裝，有些菜鳥站長經(jīng)常會忘記刪除安裝目錄，如果上面一個方法不能用，可以試一下這個方法。我差不多試了10多個網(wǎng)站，有7、8個都存在這樣的問題