微擎最新版SQL注入漏洞涉及文件web/source/site/editor.ctrl.php

微擎最新版SQL注入,htmlspecialchars_decode 函数对全局过滤gpc产生的 \’ 进行转义,将可控的参数$html的污染值插入数据库后,产生SQL注入漏洞

涉及文件

web/source/site/editor.ctrl.php

修复方案

搜索查找如下代码:

if (!empty($nav)) {

在以上代码下行增加 如下代码:

$nav['id'] = intval($nav['id']);

保存,提交验证检测。

我要打赏老杨 体验支配的快感

8.00
0.0 满分5 基于 0 个用户评分
立即购买

参与评论