因为是多条件查询所以需要先判斷是否为空然后再添加到数组里面。
近期最土团购模板程序3.0_爆出┅个高危
通过该漏洞利用方法,入侵者可以在10秒内获取最土团购模板网站的大量用户信息和订单信息等
因为最土是团购类程序,
甚至有用户的住址等,对网站用户来说这些隐私信息一旦被别人获取,会带来很多的麻烦
安全工程师分析认为,“这是一次比较典型、也是非常经典的数组key变量污染漏洞‘最土团购模板’建站程序的代码中,由于函数的过滤不严格导致了黑客可以通过提交恶意代碼,控制程序流程来绕过登录时的判断,直接进入网站后台下面附上具体的利用方法:
2.右键查看源代码。找到以下代码:
4.直接在账号s,密码s进行登陆后台
因为最土团购模板程序的后台可以直接进行备份数据库到本地的操作,所以一旦进入后台如果服务器未对备份文件的下载权限进行设置,是可以直接备份数据库到本地的因此对用户的信息安全威胁比较大。
针对以上漏洞的修复方法:
2.如果不想下载庞大的源码升级包还可以参考以下的修复方案:
3.建议针对后台数据库备份到本地,针对备份文件进行禁止下载嘚权限设置
4.可以为后台登陆增加验证码项。
部分修复方案参考网上的资料具体的可行性自行研究。
参考使用请不要做破坏活动.