🌧

摘要： 分析 与上一个漏洞类似，这个也是前端可以传入一个数组变量，如['exp','123','123']，后端根据array[0]来将array[1]和array[2]直接拼接到SQL语句中。 由于TP只是框架，为了保证应用业务正常运行，不能为主应用做过多的安全防御（如转义、去除危险字符等）。 上一个漏洞 阅读全文

摘要： [TOC] 分析 首先看一下控制器，功能是根据用户传来的id，修改对应用户的密码。 13行把用户传来的id参数送入where()作为SQL语句中的WHERE语句，将pwd参数送入save()作为UPDATE语句。 这里我们假设请求id参数为array("bind","aaa")，pwd参数为bbb。 阅读全文