微擎SQL注入漏洞 web/source/paycenter/wxmicro.ctrl.php

2019-03-05 小惟 65

微擎最新版SQL注入存在漏洞文件,微擎CMS的/web/source/paycenter/wxmicro.ctrl.php中,对$post['member']['uid']输入参数未进行严格类型转义,导致SQL注入的发生。

文件所在位置:web/source/paycenter/wxmicro.ctrl.php 打开本文件编辑。


搜索查找代码:


$user = pdo_get('mc_members', array('uniacid' => $_W['uniacid'], 'uid' => $post['member']['uid']));



替换成如下代码:


$user = pdo_get('mc_members', array('uniacid' => $_W['uniacid'], 'uid' => intval($post['member']['uid']) ));;



保存,提交验证检测。