搬码资源网广告位 搬码资源网广告位

PHPCMS2008问吧模块安全漏洞的解决办法

PHPCMS2008问吧模块安全漏洞的解决办法

检查/ask/show.PHP发现,存在如下脆弱语句

$posts[‘message’] = $M[‘use_editor’] ? $posts[‘message’] : strip_tags($posts[‘message’]);

其中如果使用了在线编辑器,则不会对页面中的HTML代码进行过滤!这样XSS、iframe攻击将变得轻而易举!!
并且这样的情况在show.PHP、query.PHP、question.PHP中全部存在。
解决办法很简单,对$posts[‘message’]中的HTML代码进行安全过滤。

function stripDangerHtml($str){
$pattern = array(
"/s+/",
"/<(/?)(script|i?frame|style|html|body|title|link|Meta|?|\%)([^>]*?)>/isU",
"/(<[^>]*)on[a-zA-Z]+s*=([^>]*>)/isU",
);
$replacement = array(
" "," ","[url=file://12]12[/url]",
);
$safeStr = preg_replace($pattern,$replacement,$str);
return $safeStr;
}

声明:
本站发布的文章及附件仅限用于学习和研究目的;不得将上述内容用于商业或非法用途,否则后果请用户自负。
本站资源来自网络收集,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。
如果您喜欢该程序,请支持正版软件,得到更好的正版服务。
本文链接:https://www.abnma.com/9956.html,转载请注明出处。
如有侵权,请邮件联系我们删除处理。

0
搬码资源网广告位

评论0

请先

没有账号? 注册  忘记密码?