发现PHP漏洞,大家不要用这个方法攻击服务器啊,用这段代码可以使mysql停止服务

mhzzz 2004-08-03 10:04:27

数据库名称:dbname

表结构
id name

把下面这段话,复制到test.php,然后运行test.php?key=哈哈哈
就一切OK,会弹除一个mysqld.exe发现错误。
注意key一定要用汉字,英文和数字不管用。


<?
$mylink=mysql_connect("localhost","root","root");
mysql_select_db("dbname");
$sql="select * from tablename where binary name like '%$key%'";
$result=mysql_query($sql);
$objcheck=mysql_fetch_object($result);
if(!$objcheck)
{
echo "ÎÞ²éѯ½á¹û£¡";
}
else
echo $objcheck->weburl;
?>

===========================================

如果哪位大哥觉得是我的程序有误,请指出来共同进步:qq:46982690
加我时请注明:CSDN
...全文
590 点赞 收藏 26
写回复
26 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
黑夜路人 2004-08-06
没意思...
回复
suypower 2004-08-06
php也可以攻击服务器
回复
wuliangxia 2004-08-04
真的不会,我也试过了.应该是你的mysql有问题.
回复
hlddn 2004-08-04
mysql 4.0.20
apache2
php 4.35
没问题
回复
cxinfo 2004-08-04
没问题,我用的是4.0
回复
mhzzz 2004-08-04
回家后测试了一下,问题一样,mysqld-nt.exe出现异常,mysql自动关闭
你们没有遇到,可能是跟mysql版本有关吧,因为家里的电脑跟公司里的电脑装的版本是一样的
回复
mikespook 2004-08-03
你是用的什么版本?
回复
mhzzz 2004-08-03
echo "ÎÞ²éѯ½á¹û£¡";

什么东西来的??

=================

那是复制的时候出现的乱码,改写成echo "a";即可,表示一句话的输出,没什么意义



to:uuq(杜牧)
那段代码是我亲手测试的,一打开就把mysql关闭了,你是不是把$key=x的x写成英文字母了,把x写成汉字即可
回复
sereis 2004-08-03
不懂
回复
reachcool 2004-08-03
????
回复
fishYY 2004-08-03
echo "ÎÞ²éѯ½á¹û£¡";

什么东西来的??
回复
uuq 2004-08-03
乱讲,没有错误
回复
mhzzz 2004-08-03
up
回复
hehe6 2004-08-03
晕,我一看问题点数为0,下次补上啊
回复
AgathaZ 2004-08-03
呵呵!
回复
mhzzz 2004-08-03
不会吧,我回家在家里的电脑试试,明天结贴
回复
fzjw 2004-08-03
http://localhost/bug.php?key=哈哈哈哈哈哈哈哈哈哈

试过了n遍,没有这个问题

<?
$key = $_GET['key'];

$hostname="localhost";
$dbusername="root";
$dbpassword="";
$dbname="db";
$table="user";
//开始
$mylink=mysql_connect($hostname,$dbusername,$dbpassword);
mysql_select_db($dbname);
$sql="select * from $table where binary username like '%$key%'";
$result=mysql_query($sql,$mylink);
$obj=mysql_fetch_object($result);
?>

我的环境是Apache 2.0.48,PHP 5.0(安全模式),Mysql 3.23.44
回复
mhzzz 2004-08-03
为了使大家能够方便的调试,只须复制以下到test.php中,按里面说明运行即可

//test.php

<?
//数据表 admin 为三个字段如下:
//id loginname password
//保存此页面为test.php,测试时输入http://localhost/test.php?key=哈哈哈
//特别注意:$key附值必须为汉字,汉字个数达到3个就有效! 英文和数字是不起作用的,


//设置参数
$hostname="localhost";
$dbusername="root";
$dbpassword="root";
$dbname="wxjj";
$table="admin";
//开始
$mylink=mysql_connect($hostname,$dbusername,$dbpassword);
mysql_select_db($dbname);
$sql="select * from $table where binary loginname like '%$key%'";
$result=mysql_query($sql);
$obj=mysql_fetch_object($result);
?>
回复
fzjw 2004-08-03
晕,我的Mysql版本是3.23.44,没有这个问题,正常显示
回复
mhzzz 2004-08-03
php在binary属性中不支持中文,当然跟php有关系了
回复
加载更多回复
发帖
基础编程
创建于2007-09-28

2.1w+

社区成员

从PHP安装配置,PHP入门,PHP基础到PHP应用
申请成为版主
帖子事件
创建了帖子
2004-08-03 10:04
社区公告
暂无公告