亚洲国产成人精品女人久久久,精品久久久久…小说,青青地操,综合加勒比AV

PHPWEB成品網(wǎng)站，版面較好，看起來(lái)比較大氣，而且支持可視化操作及拖拽，得到越來(lái)越多的企業(yè)及網(wǎng)絡(luò)公司青睞。

   但是程序本身存在一個(gè)致命的漏洞，可以通過(guò)SQL注入的方式輕松進(jìn)入管理員控制后臺(tái)。

   比如網(wǎng)站的域名是xxxx.com,那么后臺(tái)登陸地址應(yīng)該是xxxx.com/admin.php,如下圖：

用戶名和密碼都輸入admin 'or '1'='1  然后輸入相對(duì)應(yīng)的圖形驗(yàn)證碼，點(diǎn)"管理員登陸"按鈕，即可繞過(guò)管理登陸驗(yàn)證，成功進(jìn)入管理員控制后臺(tái)。

   這種低級(jí)漏洞出現(xiàn)在流行的PHPWEB成品網(wǎng)站上，實(shí)屬開(kāi)發(fā)及測(cè)試人員不負(fù)責(zé)的心態(tài)，我也是做程序開(kāi)發(fā)的，這種低級(jí)錯(cuò)誤只是在剛開(kāi)始工作的時(shí)候會(huì)犯。不清楚*新的PHPWEB成品網(wǎng)站是否已經(jīng)修復(fù)此漏洞，如果還沒(méi)有，希望能盡快修復(fù)。也希望廣大的站長(zhǎng)朋友們注意下，實(shí)在修復(fù)不了，更改后臺(tái)登陸地址也是一個(gè)不錯(cuò)的解決方式，但是還是治標(biāo)不治本。

【注：新版本已修復(fù)此漏洞】

   還有一種方法是查看使用phpweb的網(wǎng)站有沒(méi)有刪除安裝目錄。

   xxxx.com/base/install/ 百分之八十*九十使用的破解版的，安裝是會(huì)直接跳過(guò)驗(yàn)證的，輸入mysql數(shù)據(jù)庫(kù)連接信息就能直接安裝，有些菜鳥(niǎo)站長(zhǎng)經(jīng)常會(huì)忘記刪除安裝目錄，如果上面一個(gè)方法不能用，可以試一下這個(gè)方法。我差不多試了10多個(gè)網(wǎng)站，有7、8個(gè)都存在這樣的問(wèn)題