时间:2013-03-19 10:16 |
今日360webscan安全团队截获【Discuz论坛v63积分商城插件注入漏洞】 漏洞存在于该插件的config.ini.php文件中的getGoods函数 |
该漏洞直接危及到网站数据及网站服务器的安全,最终导致网站“脱库”、“挂马”等严重后果,由于该插件是网友网上发布的一个插件,并且停止了更新,所以暂时无官方补丁,站长可以用如下临时解决方案修复改漏洞,避免网站被入侵的风险。修改该插件的config.ini.php文件中的29行
$query = DB::query('select * from '.DB::table('v63_goods').' where `id` ='.$id);
修改成
$query=DB::query('select * from '.DB::table('63_goods').' where `id` ='.intval($id));