Ecmall某建站模板搜索框SQL注射

简要描述： SQL注射 详细说明： http://www.tuutao.com/index.php 土淘网 用的Ecmall的建站模板，用过这个模板的应该都通杀了吧 存在搜索框注入，注入点为： http://www.tuutao.com/index.php?app=store&act=search&id=45&keyword=aaa&minprice=100&maxprice=10000 首先将获取get传来的参数，然后组合到一个sql查询语句condition中： 1.search.app.php中的这段代码就是构建查询min和max价格的sql代码，没有过滤： / 取得查询条件语句...