大汉jget、source尚存在SQL注入漏洞

### 简要描述： 这两个测试的版本应该已经升级到U2了。应该再修复得细一点…… ### 详细说明： 厂商可以自己结合' or '%'=' 之类的来测试。很简单，如果全部用户回显出来了，那就是有注入了。 ### 漏洞证明： http://www.gansu.gov.cn/source/objectbox/selectx_userlist.jsp?fn_Keywords=test&perm=&cPage=1&tiao= [<img src="https://images.seebug.org/upload/201403/051146561392bcde5255e7cd4dfed8eb7f86ced7.png" alt="image001.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/051146561392bcde5255e7cd4dfed8eb7f86ced7.png) [<img src="https://images.seebug.org/upload/201403/05114709f6caf1661c0f8fe38a45ef2575be8931.png" alt="image003.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/05114709f6caf1661c0f8fe38a45ef2575be8931.png) http://www.gansu.gov.cn/jget/objectbox/selectx_userlist.jsp?fn_Keywords=wanghui&perm=&cPage=1&tiao= [<img src="https://images.seebug.org/upload/201403/0511474005970f1d010249b1d3e745170c59c52e.png" alt="image005.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/0511474005970f1d010249b1d3e745170c59c52e.png)