那今天我们继续说一下如何修补微橙/微赞/小猪CMS等微信三级分销商城微擎SQL注入漏洞的方法。之前公布过2个相关漏洞了,今天继续用我们修复一下该漏洞。
漏洞在web/source/mc/card.ctrl.php,修复方法(代码在201行左右)
搜索
if (false === pdo_update('mc_card_members', $status, array('uniacid' => $_W['uniacid'], 'id' => $_GPC['cardid']))) {
修改为
$_GPC['cardid'] = intval($_GPC['cardid']);
if (false === pdo_update('mc_card_members', $status, array('uniacid' => $_W['uniacid'], 'id' => $_GPC['cardid']))) {
就可以了,看的懂的一眼就发现原理了,看不懂的也就不必懂了,修复了之后看成效就好了。
|
发表于 2016-7-30 17:23:59
