欢迎来到旭说seo! 网站地图收藏本站RSS订阅
交流合作热线
旭说seo联系方式

您现在的位置是:主页 > 网站建设 > 代码漏洞修复 > 代码漏洞修复

微赞/微擎文件编辑SQL注入漏洞修复

旭说seo 2019-09-03 代码漏洞修复 人已围观

简介 阿里云盾提示,网站后台出现微擎文件编辑SQL注入的漏洞,为服务器安全起见,旭说seo分析并整理漏洞修复方法。

  阿里云盾提示,网站后台出现微擎文件编辑SQL注入的漏洞,为服务器安全起见,旭说seo分析并整理漏洞修复方法,给大家作为参考。

微擎文件编辑SQL注入漏洞

  漏洞描述:

  微擎的/web/source/site/article.ctrl.php中

  对$_GPC[‘template‘] 、$_GPC[‘title‘] 、$_GPC[‘description‘] 、$_GPC[‘source‘] 、$_GPC[‘author‘] 参数未进行正确转义过滤,

  漏洞修复方法:

  导致SQL注入的产生。

  1、搜索代码 message(‘标题不能为空,请输入标题!‘);  如下图:

message(‘标题不能为空,请输入标题!‘);

  2、在 82 行 前添加代码:

mysql_set_charset("gbk");
$_GPC[‘template‘] = mysql_real_escape_string($_GPC[‘template‘]);
$_GPC[‘title‘] = mysql_real_escape_string($_GPC[‘title‘]);
$_GPC[‘description‘] = mysql_real_escape_string($_GPC[‘description‘]);
$_GPC[‘source‘] = mysql_real_escape_string($_GPC[‘source‘]);
$_GPC[‘author‘] = mysql_real_escape_string($_GPC[‘author‘]);

  修改后如图:

关键词:漏洞修复(6)

  • * 姓名:

  • * 手机:

  • * 留言内容:

  • * 验证码: