微擎最新版SQL注入漏洞涉及文件web/source/site/editor.ctrl.php

微信开发 更新于 热度(9293)

微擎最新版SQL注入,htmlspecialchars_decode 函数对全局过滤gpc产生的 \’ 进行转义,将可控的参数$html的污染值插入数据库后,产生SQL注入漏洞

涉及文件

web/source/site/editor.ctrl.php

修复方案

搜索查找如下代码:

if (!empty($nav)) {

在以上代码下行增加 如下代码:

$nav['id'] = intval($nav['id']);

保存,提交验证检测。

我要打赏老杨 体验支配的快感

8.00
5.0 满分5 基于 1 个用户评分
阅读(7652)次 累计销售(12)件
立即购买

声明:本站所有文章,如无特殊说明或标注,均为本站YangJunwei原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。本文链接https://yangjunwei.com/3435.html

上一篇

下一篇

相关文章