【请卸载】SVOTE人物图片投票系统 Ver 1.0 Beta【请升级】Ver 2.0 Beta 版本

{:soso__935756892861888461_2:}

支持

此插件有安全漏洞，请下载安装的人立即卸载查马。

有安全漏洞？？？

啊。希望早点修复

作者没在啊

junhan 发表于 2011-6-25 14:29
作者没在啊

正在检查代码呢，检查出几处值没经过处理就直接SQL了。。。。
其他问题以我现在的能力还检查不出来，
如果有大大能指点下就好了

初学PHP，新手无人指点太累了

spbm 发表于 2011-6-25 14:32
正在检查代码呢，检查出几处值没经过处理就直接SQL了。。。。
其他问题以我现在的能力还检查不出来，
如 ...

给你个快速的检查方法：

1、$_G变量必须要过滤，而且要进行空值检测，是枚举类型的要进行in_array过滤
2、表单的提交值，数字类型必须intval，文本类型必须dhtmlspecialchar
3、用户uid，用户名username，用户组groupid，翻页变量page等等的一律作为全局变量使用
4、文件开头加IN_DISCUZ判断什么的就不用说了吧？初学者必做的事情