phpMyAdmin $_REQUEST参数发现SQL注入漏洞

ReadyGo!技术成就梦想网络搜索 efish 2008-3-29 3:23:39

发布日期：2008-03-01

更新日期：2008-03-04

受影响系统：

phpMyAdmin phpMyAdmin < 2.11.5

不受影响系统：

phpMyAdmin phpMyAdmin 2.11.5

描述：

BUGTRAQ ID: 28068

phpMyAdmin是用PHP编写的工具，用于通过WEB管理MySQL。

phpMyAdmin使用$_REQUEST而不是$_GET和$_POST变量作为其参数来源，并且在SQL查询中未经过滤便使用了参数，如果用户受骗访问了恶意网站的话，就可能导致SQL注入攻击。

phpMyAdmin：目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://prdownloads.sourceforge.net/phpmyadmin/phpMyAdmin-2.11.5-all-languages.tar.bz2?download

责任编辑: efish 参与评论查找更多：

相关文章

面向搜索引擎的URL优化面向搜索引擎的URL优化

升级PHP5的理由：PHP4和PHP5性能对比升级PHP5的理由：PHP4和PHP5性能对比

使用php的zlib压缩和解压缩swf文件使用php的zlib压缩和解压缩swf文件

网管注意 PHP 5.2.5之前版本多个安全漏洞网管注意 PHP 5.2.5之前版本多个安全漏洞

PHP连接远程MYSQL和MYSQL5.1中文乱码的处理方法! PHP连接远程MYSQL和MYSQL5.1中文乱码的处理方法!

PHP技巧：php过滤危险html代码 PHP技巧：php过滤危险html代码

PHP5中新增加的日期(date)函数的常量 PHP5中新增加的日期(date)函数的常量

PHP动态网站开发中常用的8个小技巧 PHP动态网站开发中常用的8个小技巧

PHP程序中使用session错误调试问题 PHP程序中使用session错误调试问题

用PHP程序直接调用文本文件内容实例用PHP程序直接调用文本文件内容实例

玩过泡泡龙吗？Readygo?Go! 再加上.Com.Cn的后缀，那就是大名小顶的ReadyGo.com.cn