注意最近严重bug,search.php的注入漏洞,直接爆出所有管理员密码!!官方尽快修补!

2016-07-07 15:02 来源:www.chinab4c.com 作者:ecshop专家

我们程序员已经有解决方案
search.php
大概300 源
if (is_not_null($val) )
修改为
if (is_not_null($val) && is_numeric($key))
就可以了

回答:
你2008年注册~
发的第一个贴就怎么劲爆~~
典型属于 不动则以,一动惊人类型

强者,谢谢楼主及时提醒

你2008年注册~
发的第一个贴就怎么劲爆~~
典型属于 不动则以,一动惊人类型
晓天 发表于 2010-5-20 18:16


不鸣则已,一鸣惊人,嘻嘻……

嗯 多多关注程序安全

高手,哈哈,这么强

最近经常有BUG出来。以前2.60 之前的版本很少听到过。。
太恐怖了吧。。

危害性 个人觉得 低!

8# ccclvmail
不是什么高手,只是在做mis 方面时候比较关注安全

查手册得知
is_numeric (PHP 4 )
is_numeric --检测变量是否为数字或数字字符串

search.php 逻辑有些复杂.还没有好好看.
版主提供的解决方法有效.
希望大家尽快修补,我做了个比较大的站有一个发现有此问题...已发信通知他们管理.
今天也是我发的第一帖..也谢谢大家的关注....做了2年的.net下的mis.最近越来越觉得电子商务魅力无穷.大家一起努力.




危害性 个人觉得 低!
齐迹 发表于 2010-5-20 22:37


只能执行select
危害性高低,完全取决于管理员的密码强度...个人观点!

另外回复楼上的...有漏洞不见事件坏事,软件就是这样..不停的修补完善....

顶................

好像ec的密码还不能带有符号...密码强度就更低了.