帝国cms高危SQL注入漏洞(盲注)系统自带RepPIntvar过滤函数使用方法
<p>帝国cms源码开发的时候很多时候要用到$_GET过来的参数,在处理的时候如果不严谨容易被发现利用,给系统整体安全带来影响。</p><p>帝国cms系统本身有自带了过滤函数RepPIntvar,传递过来的字段加上过滤可以给安全加分。</p>
<p>错误的写法:<code>$title = $_GET['id'] ;</code> 未经过滤存在SQL注入漏洞风险</p>
<p>正确的写法:<code>$title = RepPIntvar($_GET['id']); </code>对传过来的字段进行过滤。</p>
<p>这样在一些安全检测上会加分,不会存在检查SQL注入漏洞。</p>
<p><strong>帝国CMSRepPIntvar()</strong></p>
頁:
[1]