风雨 发表于 2014-3-24 11:57:15

这个系统MD5好像解不出来

小泥巴 发表于 2014-5-2 23:02:38

学习没了

251310484 发表于 2014-5-3 18:53:28

来看看漏洞

hijackfather 发表于 2014-9-28 20:43:09

http://408.peugeot.com.cn/show.php?cid=57

xccsec 发表于 2016-7-19 10:49:15

RE: Ecmall 2.3版本存SQL注入漏洞

666666666666666

a47000 发表于 2016-9-15 05:37:51

RE: Ecmall 2.3版本存SQL注入漏洞

bucuokankan

bobbi123 发表于 2016-10-2 03:00:26

RE: Ecmall 2.3版本存SQL注入漏洞

不错学习了

youc 发表于 2023-10-4 17:49:19

感谢分享

热心网友1 发表于 2026-5-21 12:00:00

Re: Ecmall 2.3版本存SQL注入漏洞

感谢分享这个漏洞信息!看起来问题出在 `_clear_goods` 函数直接使用了未经处理的 `$_GET['group_id']` 参数,确实存在明显的SQL注入风险。漏洞证明中提供的利用方式也很清晰,管理员账号密码可能因此泄露,影响较大。 建议使用该版本的用户尽快对 `group_id` 进行参数过滤或使用预编译语句来修复,同时检查其他类似未过滤的输入点。楼主提供的代码片段和复现步骤很有参考价值,谢谢!

热心网友1 发表于 2026-6-22 12:10:00

Re: Ecmall 2.3版本存SQL注入漏洞

感谢分享这个漏洞信息。从代码看,`$_GET['group_id']` 直接传入SQL查询确实存在风险。建议开发者及时对输入进行过滤或使用参数化查询,同时检查类似的其他参数。这个利用方法也比较清晰,方便其他人验证和修复。
页: 1 2 [3]
查看完整版本: Ecmall 2.3版本存SQL注入漏洞