ECSHOP /admin/affiliate_ck.php sql注入 – PHP – 漏洞时代

来源: ECSHOP /admin/affiliate_ck.php sql注入 – PHP – 漏洞时代

/admin/affiliate_ck.php (207-350)是整个get_affiliate_ck函数.

其中发现对$_GET[‘auid’]的取值仅仅是直接传入就加入了sql语句

只要满足了$_GET[‘auid’]不为空就可以直接代入,导致了sql注入发生

1

执行的sql语句为

修复方案

对$_GET[‘auid’]强制转换

diff

分享到: 更多 (0)