• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    蚂蚁php分类信息系统 mymps 4.0i多处SQL注入

    时间:2013/4/19 12:09:00 作者:平凡之路 来源:xuhantao.com 浏览:

    蚂蚁php分类信息mymps 4.0i多处字符未过滤',存在注入风险,帮朋友解决的时候顺便发上来,涛涛电脑知识网,希望厂商迅速给补丁
    详细说明:
    /include/common.fun.php 96行get参数过滤函数 正则
    $string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4})|[a-zA-Z][a-z0-9]{2,5});)/', '&\\1',
    str_replace(array('&', '"', '<', '>'), array('&amp;', '&quot;', '&lt;', '&gt;'), $string));
    此处未过滤‘单引号,
    Horoscope
    出错页面search.php category.php 其他页面未测试



     
     
    修复方案:
    过滤所有get输入

    作者 king0war ,www.xuhantao.com

  • 上一篇:计世网分站注入漏洞
  • 下一篇:emlog4.2.1日志顶踩插件XSS和SQL注入漏洞
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1