无限星辰工作室-客户无限互联网动力之源
标题:
微擎最新版SQL注入修复方案
[打印本页]
作者:
crx349
时间:
2019-3-18 16:19
标题:
微擎最新版SQL注入修复方案
htmlspecialchars_decode 函数对全局过滤gpc产生的 \’ 进行转义,将可控的参数$html的污染值插入数据库后,产生SQL注入漏洞。
文件位置在/web/source/site/editor.ctrl.php
搜索:
if (!empty($nav)) {
foreach ($nav as $row) {
复制代码
改成:
if (!empty($nav)) {
$nav['id'] = intval($nav['id']);
foreach ($nav as $row) {
复制代码
修复完成
欢迎光临 无限星辰工作室-客户无限互联网动力之源 (https://xmspace.net/)
Powered by Discuz! X3.4