使用新浪微博账号登录 登录 注册
发起

Phpcms v9 某处SQL注入漏洞,提到content_input.class.php,该怎么修改?

Phpcms V9 漏洞 安防
最近使用绿盟安全检测,报告指出在PHPCMS V9的某个模块中存在SQL注入漏洞。具体来说,是在caches/caches_model/caches_data/content_input.class.php文件中。这个文件负责处理内容模块的缓存数据。
参考(验证):http://28.75.71.250/caches/caches_model/caches_data/content_input.class.php

如何修正这一漏洞?
2024-06-06 22:18 0 条评论 分享

站外

邮件

2 个回复

CMSYOU - CMS企业网站定制专家

赞同来自:

背景:
PHPCMS V9版于2010年推出,是应用较为广泛的建站工具。第三方数据显示,目前使用PHPCMS V9搭建的网站数量多达数十万个,包括联合国儿童基金会等机构网站,以及大批企业网站均使用PHPCMS V9搭建和维护。
由于PHPCMS V9在过滤时处理不当,导致用户输入的数据可以直接拼接进入代码和SQL语句中,从而造成SQL注入漏洞。

问题文件:
caches/caches_model/caches_data/content_input.class.php

解决方法:
修改phpcms\modules\content\fields\content_input.class.php,检查get函数,对$data数据进行trim_script、safe_replace等函数过滤。修改更新后需要管理后台更新缓存,确保caches/caches_model/caches_data/content_input.class.php这个缓存文件产生了变化、确保修改到位。
2024-06-07 10:15 0 条评论

分享

0

CMSYOU - CMS企业网站定制专家

赞同来自:

另外还有new_html_special_chars等过滤手段,举例:
$info = array();
foreach($_POST['info'] as $_k=>$_v) {
    if(in_array($_k, $fields)) $_POST['info'][$_k] = new_html_special_chars(trim_script($_v));
}

总体来说,爆出SQL注入漏洞,是获取、提交参数没有过滤判断而造成,新增函数方法的时候写法严谨一些就好!
2024-06-07 10:21 0 条评论

分享

0

要回复问题请先登录注册

相关问题

Phpcms v9 respond.phpphpcmsv9宽字节注入漏洞怎么修正? 怎么修改PHPCMS V9内嵌的CNZZ统计ID,使用之前的账号? Phpcms V9后台登陆模板怎么修改? 怎么修改Phpcms V9添加文章的时候弹出窗口为在新Tab页打开窗口 为什么360总是提示Phpcms v9有api漏洞? Phpcms v9更新栏目的时候出现错误“templates\default\content\index.html is not exists!”,怎么解决? Phpcms v9 添加修改栏目后,更新栏目缓存,直接连接被重置显示500错误,怎么办? phpcms V9 文章内容页 分页样式如何修改!? PHPCMS后台访问路径怎么修改?index.php?m=admin

问题状态

最新活动:2024-06-07 10:21

浏览:376

关注:1

Copyright © 2008-2024 CMSYOU - 互助问答社区 - 粤ICP备10060801号-3   rss feed RSS Feed
欢迎加入QQ群(346494585)Phpcms V9企业模版交流 CMS定制咨询“让我们一起来学习CMS建站吧!”