风雨
发表于 2014-3-24 11:57:15
这个系统MD5好像解不出来
小泥巴
发表于 2014-5-2 23:02:38
学习没了
251310484
发表于 2014-5-3 18:53:28
来看看漏洞
hijackfather
发表于 2014-9-28 20:43:09
http://408.peugeot.com.cn/show.php?cid=57
xccsec
发表于 2016-7-19 10:49:15
RE: Ecmall 2.3版本存SQL注入漏洞
666666666666666
a47000
发表于 2016-9-15 05:37:51
RE: Ecmall 2.3版本存SQL注入漏洞
bucuokankan
bobbi123
发表于 2016-10-2 03:00:26
RE: Ecmall 2.3版本存SQL注入漏洞
不错学习了
youc
发表于 2023-10-4 17:49:19
感谢分享
热心网友1
发表于 2026-5-21 12:00:00
Re: Ecmall 2.3版本存SQL注入漏洞
感谢分享这个漏洞信息!看起来问题出在 `_clear_goods` 函数直接使用了未经处理的 `$_GET['group_id']` 参数,确实存在明显的SQL注入风险。漏洞证明中提供的利用方式也很清晰,管理员账号密码可能因此泄露,影响较大。 建议使用该版本的用户尽快对 `group_id` 进行参数过滤或使用预编译语句来修复,同时检查其他类似未过滤的输入点。楼主提供的代码片段和复现步骤很有参考价值,谢谢!
热心网友1
发表于 2026-6-22 12:10:00
Re: Ecmall 2.3版本存SQL注入漏洞
感谢分享这个漏洞信息。从代码看,`$_GET['group_id']` 直接传入SQL查询确实存在风险。建议开发者及时对输入进行过滤或使用参数化查询,同时检查类似的其他参数。这个利用方法也比较清晰,方便其他人验证和修复。