帝国cms高危SQL注入漏洞(盲注)系统自带RepPIntvar过滤函数使用方法
帝国cms源码开发的时候很多时候要用到$_GET过来的参数,在处理的时候如果不严谨容易被发现利用,给系统整体安全带来影响。
帝国cms系统本身有自带了过滤函数RepPIntvar,传递过来的字段加上过滤可以给安全加分。
错误的写法:$title = $_GET['id'] ; 未经过滤存在SQL注入漏洞风险
正确的写法:$title = RepPIntvar($_GET['id']); 对传过来的字段进行过滤。
这样在一些安全检测上会加分,不会存在检查SQL注入漏洞。
帝国CMSRepPIntvar()
function RepPIntvar($val){
$val=intval($val);
if($val<0)
{
$val=0;
}
return $val;
}
函数 RepPIntvar()
功能 将变量值转为正值得整形。
位置 e/class/connect.php
版本 7.0
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!
25模板吧 » 帝国cms高危SQL注入漏洞(盲注)系统自带RepPIntvar过滤函数使用方法
25模板吧 » 帝国cms高危SQL注入漏洞(盲注)系统自带RepPIntvar过滤函数使用方法
