最近网上公开了一些瑞友天翼应用虚拟化系统的SQL注入漏洞，经过挖掘发现，还存在一些后台SQL注入漏洞。重点关注传入参数可控并且拼接到SQL语句中的代码。​getappicon​首先检测了登录状态，然后将通过GET获取到的参数id直接拼接到SQL语句中。GET/hmrao.php?s=/Admi