zk/wz/5.rarzk/wz/5.rarPHPCMS存在一个sql注射漏洞,这个漏洞导致的原因不高级。
详细说明:在phpcms/api.php?op=add_favorite中使用了urldecode,www.xuhantao.com,导致了一个sqlinject漏洞。
$title = urldecode($title);
省略……
$data = array('title'=>$title, 'url'=>$url, 'adddate'=>SYS_TIME, 'userid'=>$userid);
省略……
$favorite_db->insert($data);
修复方案:将
$title = urldecode($title);
修改成
$title = addslashes(urldecode($title));
官方上次的补丁已经修复该问题
,涛涛电脑知识网