一个可能被注入的地方，官方也有

明镜 · 发表于 2006-11-27 21:02:30

示例：http://x.discuz.net/491698/spacelist_type_image_itemtypeid_100%20BugFindByIce
表现：

SupeSite info: MySQL Query Error
Time: 2006-11-27 8:49pm
Script: /491698/spacelist_type_image_itemtypeid_100 BugFindByIce
SQL: SELECT dateline FROM supe_spaceitems WHERE uid=491698 AND type='image' AND itemtypeid=100 BugFindByIce AND folder=1 AND dateline BETWEEN 1162310400 AND 1164902400
Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'BugFindByIce AND folder=1 AND dateline BETWEEN 1162310400 AND 1
Errno.: 1064
Similar error report has beed dispatched to administrator before.

复制代码

antdk · 发表于 2006-11-28 08:45:12

关注……………………

明镜 · 发表于 2006-11-28 09:27:34

我试过加入and等代码，能被识别

茄子 · 发表于 2006-11-28 14:01:03

谢谢您的反馈
我们检查下

sup · 发表于 2006-11-28 14:21:41

谢谢楼主的反馈，这个是日历模块的sql所致，我已经找到解决方法。

明镜 · 发表于 2006-11-28 17:09:20

原帖由 sup 于 2006-11-28 14:21 发表
谢谢楼主的反馈，这个是日历模块的sql所致，我已经找到解决方法。

尽快给我们补丁吧，有点不安呢

		自动登录	找回密码
密码			立即注册