欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

DeDeCMS V5 用户验证函数转义符漏洞

程序员文章站 2022-03-12 17:45:25
  dedecms漏洞   影响版本:   DeDeCMS V5、DeDeCMS 2007漏洞描述:   在includeinc_userlogin.php文件中,checkUser函数对过滤处理不当,导致可以注入转义符,致使系统数据库... 11-03-11...

  dedecms漏洞

  影响版本:

  dedecms v5、dedecms 2007漏洞描述:

  在includeinc_userlogin.php文件中,checkuser函数对过滤处理不当,导致可以注入转义符,致使系统数据库语句出错。。。

  $this->username = ereg_replace("[^0-9a-za-z_@!.-]","",$username); ,是不是代码编写人员忘记了,在引号内,转义符只能转义单引号和斜杠 :-p,这样,在变量username中输入一个单引号,变成',然后过滤'留下,导致数据库语句执行出错。

  <*参考

  http://blog.bigchan.cn/?action=show&id=87

  *>

  爱安全建议:

  去掉代码中的斜杠,语句改为:$this->username = ereg_replace("[^0-9a-za-z_@!.-]","",$username);// sebug.net [2008-03-12]

 

 

         (本文由责任编辑 pasu 整理发布)