当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

phpcms api.php的sqlinject 漏洞

时间:2013/4/19 12:10:00 作者:平凡之路 来源:xuhantao.com 浏览:

zk/wz/5.rarzk/wz/5.rarPHPCMS存在一个sql注射漏洞,这个漏洞导致的原因不高级。
详细说明:在phpcms/api.php?op=add_favorite中使用了urldecode,www.xuhantao.com,导致了一个sqlinject漏洞。
 
 
$title = urldecode($title);
 
省略……
 
$data = array('title'=>$title, 'url'=>$url, 'adddate'=>SYS_TIME, 'userid'=>$userid);
 
 
省略……
 
$favorite_db->insert($data);


 
 
修复方案:将
 
$title = urldecode($title);
修改成
 
$title = addslashes(urldecode($title));



官方上次的补丁已经修复该问题 ,涛涛电脑知识

相关文章
  • 没有相关文章
共有评论 0相关评论
发表我的评论
  • 大名:
  • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1