dedecms漏洞
影响版本:
dedecms v5、dedecms 2007漏洞描述:
在includeinc_userlogin.php文件中,checkuser函数对过滤处理不当,导致可以注入转义符,致使系统数据库语句出错。。。
$this->username = ereg_replace("[^0-9a-za-z_@!.-]","",$username); ,是不是代码编写人员忘记了,在引号内,转义符只能转义单引号和斜杠 :-p,这样,在变量username中输入一个单引号,变成',然后过滤'留下,导致数据库语句执行出错。
<*参考
http://blog.bigchan.cn/?action=show&id=87
*>
爱安全建议:
去掉代码中的斜杠,语句改为:$this->username = ereg_replace("[^0-9a-za-z_@!.-]","",$username);// sebug.net [2008-03-12]
(本文由责任编辑 pasu 整理发布)
版权声明:本文内容由互联网用户贡献,该文观点仅代表作者本人。本站仅提供信息存储服务,不拥有所有权,不承担相关法律责任。 如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2386932994@qq.com 举报,一经查实将立刻删除。
我要评论
发表评论