为了及时共享行业案例，通知共性问题，达成共享和提前预防，我们整理和编辑了《云和恩墨技术通讯》，通过对过去一段时间的知识回顾，故障归纳，以期提供有价值的信息供大家参考。同时，我们也希望能够将热点事件、新的产品特性及

### 简要描述：PHPYUN最新版(phpyun_v3.1.0604_gbk)多处SQL注入及越权操作php网站漏洞。虽然PHPYUN在注入防御上已经做得很不错了，方的很严格，像吃掉引号，宽字节的基本上很少了，但是不需要跟引号斗争的地方还有很多，得好好检查ÿ

1SQL注入、盲注 1.1SQL注入、盲注概述 Web 应用程序通常在后端使用数据库，以与企业数据仓库交互。查询数据库事实上的标准语言是 SQL（各大数据库供应商都有自己的不同版本）。Web 应用程序通常会获取用户输入（取自 HTTP 请求），将它并

一、前言有sql注入漏洞的网站，这个注入是之前做测试时发现的，但是测试的时候发现有防护，但是想想这么个小网站都绕不过，实在不应该啊。开始补充学习各种场景、各种waf绕过姿势，勉勉强强的成功执行我构造的SQL的语句。趁着还有些印象，就写

漏洞描述：　　很多网站把密码放到数据库中，在登陆验证中用以下sql,(以asp为例）sql="select*fromuserwhereusername='"&username&"'andpass='"&pass&'"　　此时，您只要根据sql构