ECSHOP /admin/affiliate_ck.php sql注入

文章目录

/admin/affiliate_ck.php (207-350)是整个get_affiliate_ck函数.

其中发现对$_GET[‘auid’]的取值仅仅是直接传入就加入了sql语句

只要满足了$_GET[‘auid’]不为空就可以直接代入,导致了sql注入发生

1

执行的sql语句为

修复方案

对$_GET[‘auid’]强制转换

diff

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录