phpweb网站程序漏洞，几乎百试百灵

[Ainsworth]

PHPWEB成品网站，版面较好，看起来比较大气，而且支持可视化操作及拖拽，得到越来越多的企业及网络公司青睐。

但是程序本身存在一个致命的漏洞，可以通过SQL注入的方式轻松进入管理员控制后台。

比如网站的域名是xxxx.com,那么后台登陆地址应该是xxxx.com/admin.php

用户名和密码都输入admin 'or '1'='1 然后输入相对应的图形验证码，点"管理员登陆"按钮，即可绕过管理登陆验证，成功进入管理员控制后台。

这种低级漏洞出现在流行的PHPWEB成品网站上，实属开发及测试人员不负责的心态，我也是做程序开发的，这种低级错误只是在刚开始工作的时候会犯。不清楚最新的PHPWEB成品网站是否已经修复此漏洞，如果还没有，希望能尽快修复。也希望广大的站长朋友们注意下，实在修复不了，更改后台登陆地址也是一个不错的解决方式，但是还是治标不治本。

【注：新版本已修复此漏洞】

还有一种方法是查看使用phpweb的网站有没有删除安装目录。

xxxx.com/base/install/ 百分之八十至九十使用的破解版的，安装是会直接跳过验证的，输入mysql数据库连接信息就能直接安装，有些菜鸟站长经常会忘记删除安装目录，如果上面一个方法不能用，可以试一下这个方法。我差不多试了10多个网站，有7、8个都存在这样的问题

去申请个免费mysql数据库，填入相关数据可信息，点“下一步”直接重新安装，这样会让网站恢复原始数据了，当然安装的时候会让你输入管理账号和密码，你可以通过输入的管理账号和密码直接进入后台。除非你跟这个网站站长有很深的仇，要不然不建议使用这个方法，太有点缺德了。