drupal漏洞挖矿

『壹』 drupal 7 sql 注入漏洞 什么意思

strSql="select * from user where 用户名='"&Uname&"' and 密码='"&Upass&"'"
改成：
strSql="select * from user where 用户名='"&Replace(Uname,"'", "''")&"' and 密码='"&Replace(Upass,"'", "''")&"'"
就是说，把单引号替换成2个单引号，就可以避免字符串型的注入漏洞了
如果是int型，就不能用Replace了，而要在拼接sql前判断是否数字

『贰』 一般sql注入漏洞可以让攻击者做什么

今早有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞，并给出了利用测试的EXP代码，小编在本地搭建Drupal7.31的环境，经过测试，发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。