高危 易想团购系统subscribe.php SQL注入漏洞
WASC Threat Classification
- 发现时间:
-
2013-05-31
- 漏洞类型:
-
SQL注入
- 所属建站程序:
-
Easethink
- 所属服务器类型:
-
通用
- 所属编程语言:
-
PHP
- 描述:
-
目标存在SQL注入漏洞。
1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。
+ 展开
- 危害:
-
被SQL注入后可能导致以下后果:
1.网页被篡改
2.数据被篡改
+ 展开
- 解决方案:
-
解决方案:对解密后的参数进行过滤
$email = base64_decode($email_code);
修改为
$email_code = addslashes(base64_decode($email_code));
共2处分别在subscribe.php的76和92行
SQL 注入漏洞演示
如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载