阿里云提示,htmlspecialchars_decode函数对全局过滤gpc产生的 \’ 转义,将可控参数$html污染值插入数据库会产生SQL注入漏洞。文件位置在/web/source/site/editor.ctrl.php,经搜索修改后完成修复。
阿里云提示 htmlspecialchars_decode 函数对全局过滤gpc产生的 \’ 进行转义,将可控的参数$html的污染值插入数据库后,产生SQL注入漏洞。
文件位置在/web/source/site/editor.ctrl.php
搜索:
if (!empty($nav)) {
foreach ($nav as $row) {
改成:
if (!empty($nav)) {
$nav['id'] = intval($nav['id']);
foreach ($nav as $row) {
修复完成
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
