帝国cms高危SQL注入漏洞(盲注)系统自带RepPIntvar过滤函数使用方法

  发布时间:2021-07-26 10:46:07   作者:佚名   我要评论
帝国cms开发的时候要注意一些危险的注入漏洞,防止被黑,RepPIntvar为系统自带函数可以起到过滤字符的作用,下面就为大家介绍一下使用方法
(福利推荐:【腾讯云】服务器最新限时优惠活动,云服务器1核2G仅99元/年、2核4G仅768元/3年,立即抢购>>>:9i0i.cn/qcloud

(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun

帝国cms源码开发的时候很多时候要用到$_GET过来的参数,在处理的时候如果不严谨容易被发现利用,给系统整体安全带来影响。

帝国cms系统本身有自带了过滤函数RepPIntvar,传递过来的字段加上过滤可以给安全加分。

错误的写法:$title = $_GET['id'] ; 未经过滤存在SQL注入漏洞风险

正确的写法:$title = RepPIntvar($_GET['id']); 对传过来的字段进行过滤。

这样在一些安全检测上会加分,不会存在检查SQL注入漏洞。

帝国CMSRepPIntvar()

function RepPIntvar($val){
	$val=intval($val);
	if($val<0)
	{
		$val=0;
	}
	return $val;
}

函数 RepPIntvar()
功能 将变量值转为正值得整形。
位置 e/class/connect.php
版本 7.0

相关文章

最新评论

?


http://www.vxiaotou.com