dedecms5.7 20180109爆绝对路径

漏洞原因：

sql语句执行错误返回错误信息。

触发条件：

无

漏洞文件：

./include/memberlogin.class.php     190行

利用方法：

/plus/feedback.php?aid=1111&dsql=aaa     

备注：aid值和dsql随意填写，aid值防止feedback.php 31行代码判断造成停止运行，dsql值用于sql执行报错。

修复方法：

在./include/memberlogin.class.php     190行   $dsql前面添加@符号，屏蔽错误提示。