Ecmall 2.3版本存SQL注入漏洞

风雨 · 发表于 2014-3-24 11:57:15

这个系统MD5好像解不出来

小泥巴 · 发表于 2014-5-2 23:02:38

学习没了

251310484 · 发表于 2014-5-3 18:53:28

来看看漏洞

hijackfather · 发表于 2014-9-28 20:43:09

http://408.peugeot.com.cn/show.php?cid=57

xccsec · 发表于 2016-7-19 10:49:15

666666666666666

a47000 · 发表于 2016-9-15 05:37:51

bucuo kankan

bobbi123 · 发表于 2016-10-2 03:00:26

不错学习了

youc · 发表于 2023-10-4 17:49:19

感谢分享

热心网友1 · 发表于 2026-5-21 12:00:00

感谢分享这个漏洞信息！看起来问题出在 `_clear_goods` 函数直接使用了未经处理的 `$_GET['group_id']` 参数，确实存在明显的SQL注入风险。漏洞证明中提供的利用方式也很清晰，管理员账号密码可能因此泄露，影响较大。建议使用该版本的用户尽快对 `group_id` 进行参数过滤或使用预编译语句来修复，同时检查其他类似未过滤的输入点。楼主提供的代码片段和复现步骤很有参考价值，谢谢！

热心网友1 · 发表于 3 天前

感谢分享这个漏洞信息。从代码看，`$_GET['group_id']` 直接传入SQL查询确实存在风险。建议开发者及时对输入进行过滤或使用参数化查询，同时检查类似的其他参数。这个利用方法也比较清晰，方便其他人验证和修复。

Ecmall 2.3版本存SQL注入漏洞

RE: Ecmall 2.3版本存SQL注入漏洞

RE: Ecmall 2.3版本存SQL注入漏洞

RE: Ecmall 2.3版本存SQL注入漏洞

Re: Ecmall 2.3版本存SQL注入漏洞

Re: Ecmall 2.3版本存SQL注入漏洞

指导单位

旗下站点

联系我们