同样的参数处理,为什么一个能触发SQL注入一个不行

xhcms的前端审计过程中,list.php和content.php两个页面下面均存在相同的参数处理情况 list.php如下: ![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/04/attach-c7d5d14d00605ac66c2f50706da4034509ba4604.png) content.php如下: ![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/04/attach-05fb6827e9ff625a34427d63cc70158948123dd4.png) 但是在前端,list.php的class参数无法触发sql注入报错,但content.php下的cid参数可以 ![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/04/attach-bf249e2f48a658691a6aaee0ef7f6adcc07221ef.png) ![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/04/attach-3b91c39fbee4656758fdb62867a3f1e1a10d8091.png) 求大佬指教指教
默认排序 时间排序

1 个回答

铉清

没细看代码 不过你看看是不是waf 的问题还有就是你这个程序有没有使用pdo的预编译

注意看这个代码

  • 1 关注
  • 0 收藏,12289 浏览
  • 东邪 提出于 2024-04-09 12:22

相似问题