0712-2888027 189-8648-0214
微信公众号

孝感风信网络科技有限公司微信公众号

当前位置:主页 > 技术支持 > PHPCMS > PHPCMS V9 /phpcms/modules/member/index.php phpcms注入漏洞修复补丁

PHPCMS V9 /phpcms/modules/member/index.php phpcms注入漏洞修复补丁

时间:2022-08-15来源:风信官网 点击: 525次
漏洞名称:phpcms注入漏洞

文件路径:/phpcms/modules/member/index.php

修复方法来源于网络,由风信网整理提供。

源代码大概615行:

if(empty($_SESSION['connectid'])) {
//判断验证码
$code = isset($_POST['code']) && trim($_POST['code']) ? trim($_POST['code']) : showmessage(L('input_code'), HTTP_REFERER);
if ($_SESSION['code'] != strtolower($code)) {
    $_SESSION['code'] = '';
    showmessage(L('code_error'), HTTP_REFERER);
}
$_SESSION['code'] = '';
}

$username = isset($_POST['username']) && is_username($_POST['username']) ? trim($_POST['username']) : showmessage(L('username_empty'), HTTP_REFERER);
$password = isset($_POST['password']) && trim($_POST['password']) ? trim($_POST['password']) : showmessage(L('password_empty'), HTTP_REFERER);

针对phpsso模块添加过滤代码,最好的方式应该是将转义和过滤放在数据库操作的前一步,这样可以极有效缓解SQL注入带来的问题

修改代码:

$password = isset($_POST['password']) && trim($_POST['password']) ? trim($_POST['password']) : showmessage(L('password_empty'), HTTP_REFERER);

改为:

$password = isset($_POST[‘password‘]) && trim($_POST[‘password‘]) ? addslashes(urldecode(trim($_POST[‘password‘]))) : showmessage(L(‘password_empty‘), HTTP_REFERER);
热门关键词: PHPCMS modules member index.ph
栏目列表
推荐内容
热点内容
展开