BBSGood 5.0/5.0.2 UserInfo.asp页面SQL注入漏洞

BBSGOOD是国内首创使用缓存技术的论坛，BBSGOOD的帖子和列表首页是可以生成静态HTML文件的。 在文件UserInfo.asp中： case 6 //第1289行 dim selectid selectid=trimRequestCStringSafeRequest.Form"selectid" if selectid="" then Response.Write "brbrcenterli所选内容不能为空！/li /centerbrbrbrbr" else if instr1,selectid,", "0 then selectid = Replaceselectid, ",...

BBSGood论坛程序UserInfo.asp页面Blogurl变量过滤不严导致SQL注入漏洞

BBSGood是国内首创使用缓存技术的论坛 在UserInfo.asp页面代码当中，我们可以看到变量Blogurl未经过滤带入sql语句，导致Sql注入漏洞。 代码举例: 行1729-1853. 1. case 14 2. if Request.QueryString"save"=1 then 3. if trimRequest.Form"blogurl""" then 4. Set rsdj = Server.CreateObject"ADODB.Recordset" 5. rsdj2="select id from LxTelUser where...