微擎最新版SQL注入 web/source/site/editor.ctrl.php

2019-03-05 小惟

模板坊 - APP应用开发|网站建设|平面设计


微擎最新版SQL注入editor.ctrl.php,htmlspecialchars_decode 函数对全局过滤gpc产生的 \’ 进行转义,将可控的参数$html的污染值插入数据库后,产生SQL注入漏洞。

文件所在位置:web/source/site/editor.ctrl.php 打开编辑。


搜索查找如下代码:


if (!empty($nav)) {



在以上代码下行增加 如下代码:


$nav['id'] = intval($nav['id']);



保存,提交验证检测。


模板坊版权所有 京ICP备16066985号-2 京公网安备11010602022036号

100041

QQ:504895209

— 努力创造优质作品,奉献更多精品佳作 —

模板坊 - APP应用开发|网站建设|平面设计