目录
DEDECMS支付模块注入漏洞
漏洞文件: /include/payment/alipay.php
漏洞描述: 对输入参数$_GET['out_trade_no']未进行严格过滤
修复方案: 对该参数实体转义即可 addslashes($_GET['out_trade_no'])
大约在136行
补丁前: $order_sn = trim($_GET['out_trade_no']);
补丁后: $order_sn = trim(addslashes($_GET['out_trade_no']);
本文详细介绍了DEDECMS支付模块中一个未过滤参数导致的注入漏洞,该漏洞出现在alipay.php文件的136行,通过实体转义参数$_GET['out_trade_no']来修复。原代码为$order_sn=trim($_GET['out_trade_no']),补丁后的代码为$order_sn=trim(addslashes($_GET['out_trade_no']))。
805

被折叠的 条评论
为什么被折叠?



