关于单引号引出的问题

juziyue · 发表于 2009-1-15 09:27:20

在通过SupeSite的XMLRPC接口发布文章时, 发现当文章内容存在单引号就会出现错, 导致发上去内容为空! 后来根据相关返回值, 发现是由于单引号在SQL语句中引起了冲突, 麻烦你们看下, 谢谢!
(以下为具体错误)
</table></table></table></table></table>
<p style="font-family: Verdana, Tahoma; font-size: 11px; background: #FFFFFF;"><b>SupeSite info</b>: MySQL Query Error<br />
<br />
<b>User</b>: guest<br />
<b>Time</b>: 2009-1-14 2:22pm<br />
<b>Script</b>: /xmlrpc.php<br />
<br />
<b>SQL</b>: INSERT INTO [Table]spaceblogs (message, itemid) VALUES ('<div id=&quot

ublished By Juziyue-[4]1_408CEBFF62584D18BB0379876F394A18_E0EB20FA8BF24EB5A68464AAC3F45B72"><span style="FONT-SIZE: 16pt; FONT-FAMILY: 宋体; mso-ascii-font-family: 'Times New Roman'; mso-hansi-font-family: 'Times New Roman'">abcd</span></div>', '299273') <br />
<b>Error</b>: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'Times New Roman'; mso-hansi-font-family: 'Times New Roman'">abc<br />
<b>Errno.</b>: 1064</p>

紫琼 · 发表于 2009-1-15 10:35:11

xs 的问题如果不是漏洞小问题都不会再维护更新了，建议楼主升级到 ss7+uch 吧~

juziyue · 发表于 2009-1-20 16:09:07

ss7+uch 有没有解决这个问题呢?

molezz · 发表于 2009-1-21 14:21:47

不光是xmlrpc，后台写日志的地方也存在这样的问题啊。我觉得这不是小问题，是安全隐患啊。万一用这个问题sql注入怎么办？希望官方能发布个补丁，把文章中的单引号过滤下

molezz · 发表于 2009-1-21 14:37:37

本帖最后由 molezz 于 2009-1-21 14:39 编辑

===================== 以下是我遇到的问题，注意红色的单引号
SupeSite info: MySQL Query Error

User: mole
Time: 2009-1-21 2:26pm
Script: /spacecp.php

SQL: INSERT INTO [Table]spaceblogs (message, postip, customfieldid, customfieldtext, relativetags, includetags, relativeitemids, mood, weather, itemid) VALUES ('问题重现  ' ', '192.168.1.253', '0', 'a:0:{}', 'a:0:{}', '', '', '', '', '10476')
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '192.168.1.253', '0', 'a:0:{}', 'a:0:{}', '', '', '', '', '10476')' at line 1
Errno.: 1064

		自动登录	找回密码
密码			立即注册