关于phpcms前台注入致使恣意文件读取破绽的修复题目
简介: phpcms的/phpcms/modules/content/down.php 文件中,对输入参数 $_GET['a_k'] 未举行严厉过滤,致使SQL注入的发作,黑客 可利用该破绽读取恣意文件。 … 阿里云服务器提醒破绽题目。
解决办法:
1、依据简介中的破绽提醒,找到对应文件down.php的对应位置(第18、89行 四周),增加或替代响应的代码。
补丁代码片断以下:
$a_k = safe_replace($a_k); parse_str($a_k);
修正后的补丁代码片断截图以下:
第一处修正,第18行四周:
第二处修正,第89行四周:
注重:第一处和第二处的补丁代码内容一样。
第三处修正,第120行四周:
补丁代码片断以下:
$fileurl = str_replace(array('<','>'), '',$fileurl);
file_down($fileurl, $filename);
注重:经由现实测试,上述两行代码之间只管不要有其他代码,以避免被阿里云检测效果为修复无效。
修正后的补丁代码片断截图以下:
2、然后,将修正好的文件,上传到服务器对应文件位置,直接掩盖;
3、末了,登录阿里云背景,点击考证(截图以下),即可完成破绽修复。
以上就是关于“phpcms前台注入致使恣意文件读取破绽”破绽修复的全部内容。
ki4网,大批的免费PHPCMS教程,迎接在线进修!
以上就是PHPCMS破绽之前台注入致使恣意文件读取的细致内容,更多请关注ki4网别的相干文章!
