DT6.0关于SQL注入漏洞修复问题

最新推荐文章于 2021-03-09 23:27:39 发布
最新推荐文章于 2021-03-09 23:27:39 发布
阅读量177 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/68xi/p/11014071.html
版权

   阿里云安全平台提示:Destoon SQL注入,关于:

Destoon的/mobile/guestbook.php中$do->add($post);这行代码对参数$post未进行正确转义,导致黑客可进行SQL注入,获取网站后台密码等。

解决办法:

找到
$do->add($post);

  改为:

$do->add(daddslashes($post));

  

转载于:https://www.cnblogs.com/68xi/p/11014071.html

asevb02442
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
destoon注入漏洞
qq_34862577的博客
02-28 2832
漏洞名称:destoon注入漏洞漏洞等级: 高危披露时间:2017-03-22 08:59:13漏洞类型:Web-CMS漏洞漏洞描述:在php5.2下可以绕过waf,利用没有正确过滤的变量进行注入。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告...
Confluence OGNL表达式注入漏洞复现与分析(CVE-2022-26134)
Brucetg的博客
06-06 4464
在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者在 Confluence Server 或 Data Center 实例上执行任意代码。
记一个老系统被检测出SQL注入漏洞的解决过程
weixin_34384557的博客
10-20 463
2019独角兽企业重金招聘Python工程师标准>>> ...
guestbook.php注入,Destoon 6.0 guestbook.php 通用SQL注入漏洞
weixin_32827751的博客
03-09 493
来源: https://www.leavesongs.com/PENETRATION/destoon-v6-0-sql-injection.html作者: phithon刚看到今天发布了Destoon 6.0 2017-01-09 更新,用我在【代码审计】小密圈里说过的方法,瞬间找到修复的一处SQL注入漏洞。用中午的20分钟,小小地分析一下。我们先看看diff(左新右老):mobile/guest...
Destoon(B2B网站系统) 6.0 GBK 20171011.zip
05-24
Destoon(B2B网站系统)使用当前流行的PHP语言开发,以MySQL为数据库,采用B/S架构,MVC模式开发。融入了模型化、模板、缓存、AJAX、SEO等前沿技术。与同类产品相比,系统功能更加强大、使用更加简单、运行更加稳定、安全性更强,效率更高,用户体验更好。系统开源发布,便于二次开发、功能整合、个性修改。 Destoon 6.0 GBK 20171011 更新日志: [修复]手机版留言存在SQL注入漏洞;[修复]Kindeditor编辑器插入视频无法在手机版播放;[修复]分类设置了SEO信息没有优先显示;[修复]快钱支付接口无法支付成功;[修复]易宝支付错误信息未正确保存;[更新]常用支付接口申请地址;[更新]最新QQ视频匹配播放规则;[优化]Memcache服务无法连接时自动切换到文件缓存。
DT6.0花木网模板
04-03
"DT6.0花木网模板"是一款专为花木行业设计的网站模板,基于DESTOON6.0系统构建,适用于搭建专业的花木信息平台。这个模板包含了完整的手机版,确保用户在移动设备上也能方便地浏览和使用,提供全方位的网络服务。...
UESD6.0DT5G的技术参数
12-10
UESD6.0DT5G是一款专为电子设备提供静电放电(ESD)保护的二极管,其技术参数是衡量其性能的关键指标。在理解这些参数之前,我们需要先了解ESD保护二极管的基本作用。ESD保护二极管通常被用于电路设计中,以防止静电...
destoon6.0模板蓝色宽屏B2B行业网站源码 最新完整版+手机版
09-17
destoon6.0模板 ST05蓝色宽屏B2B行业网站源码最新完整版+手机版,UTF8编码,修复会员中心-顶部显示错位,兼容各种主流浏览器,专为各类行业站量身打造的模板。 主要开发模板有:首页,商城频道,供应频道,求购频道...
ASP源码—多特软件爬虫DT 2022 v6.0.zip
最新发布
10-21
在"ASP源码—多特软件爬虫DT 2022 v6.0.zip"这个压缩包中,我们看到的是一个基于ASP技术的软件爬虫程序,名为DT 2022 v6.0。这个版本可能代表了该爬虫程序的最新更新,旨在2022年提供更高效、功能更全面的数据抓取...
常用Sql注入语句.
03-30
NULL 博文链接:https://cn-wangwei.iteye.com/blog/1327507
ASP.NET(VB.NET)防SQL注入脚本程序.rar
07-09
针对ASP.NET(vb.net)下防SQL注入
asp.net 以及vb ---- sql防注入方法
06-25
强烈建议在数据库处调用,检测前台get或post以及cookies的请求,建议使用时放入Global.asax中的Application_Beginrequest方法中使用。 同是初学者,还望相互交流、帮助。
Destoon被植木马 @include(PACK('H*','2F746D702F2E4943452D756E69782F30'));
xingnang2008的专栏
06-25 1343
暂无法确定,植入路径! 网站收录页面被指向波菜,但用浏览器,打开时提示403。应该代码中加入了判断浏览器header的代码。 在站内搜索到两个php文件,有代码写入 @include(PACK('H*','2F746D702F2E4943452D756E69782F30')); 用16进制转字符串后 2F746D702F2E4943452D756E69782F30 => /tmp/....
sql注入的代码修复
weixin_44825990的博客
08-13 4328
文章主要以php环境讲述sql注入修复,从简单到复杂,当然网上也有相应的绕过方法。首先我们写一个存在sql注入php文件。 <?php $id =$_GET['id']; $con=mysqli_connect("localhost","root","root","jj"); $query = "select id,name, pass from user where id = $id"...
[C++]简单的SQL注入过滤
weixin_30478619的博客
03-29 1230
前几天帮一个客户写了一个C++连接MySQL,当他用到他的游戏中后,被人注射了,用了一个永真式,无限的刷了游戏装备 所以,我针对参数和整体SQL语句写了两个简单的函数,进行简单的过滤 bool CheckSQL(string sql) { string key[9] = { "%","/","union","|","&","^" ,"#","/*","*/"}; ...
谈谈我对SQL 注入的理解
Agnes-井朝
08-10 2191
要说SQL注入还是要感谢我师傅的,听他说在程序开发过程中,我们经常会遇到SQL注入问题,也就是指令隐码攻击。       再说通俗点就是利用程序员对用户输入数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取想得到的资料。       想要避免SQL注入,在网上的答案也是五花八门,毕竟要站在巨人肩膀上学习,也要注重总结,下面就是我对避免SQL
转:PHP中防止SQL注入的方法
weixin_34258838的博客
10-08 776
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
vb.net sql数据库_SQL注入攻击–如何防止VB.Net数据库应用程序
culing2941的博客
09-12 287
vb.net sql数据库 Image Credit Image Credit 翻译自: https://www.thecrazyprogrammer.com/2014/10/prevent-sql-injection-attacks.htmlvb.net sql数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值