个人博客 > 学无止境 > PHP > phpcms读取文件漏洞解决办法

phpcms读取文件漏洞解决办法

phpcms存在的高危漏洞就是一旦进去就可以对您网站任意文件读取,包括数据库文件,那么这个是最致命的,只要拿到这个文件之后那么就可以对数据库进行操作了,因为他已经拿到了数据库的用户名与密码。

一旦被泄露之后,那么你的网站会发生下面这些问题:1、数据库被黑2、网页被挂黑3、被上传大量广告而主要是这个文件里面的代码导致的:网站根目录/phpcms/modules/search/index.php,这个是文件读取的漏洞。

文件位置如下:

phpcms读取文件漏洞地址

代码如下:

public function public_get_suggest_keyword() {
	$url = $_GET['url'].'&q='.$_GET['q'];
	$res = @file_get_contents($url);
	if(CHARSET != 'gbk') {
		$res = iconv('gbk', CHARSET, $res);
	}
	echo $res;
}

这段代码的意思是可以利用里面的值获取权限从而得到文件的信息。

所以说为了这个的方法,phpcms官方也做出了相应的改善,就得到了我们最新版本的phpcms版本。

解决办法如下:1、在没有2次开发的情况下升级最新的phpcms。2、如果有2次开发那么用下面这段修改成下面这段代码:

public function public_get_suggest_keyword() {
		$url = $_GET['url'].'&q='.$_GET['q'];
		$trust_url = array('c8430fcf851e85818b546addf5bc4dd3');
		$urm_md5 = md5($url);
		if (!in_array($urm_md5, $trust_url)) exit;
		
		$res = @file_get_contents($url);
		if(CHARSET != 'gbk') {
			$res = iconv('gbk', CHARSET, $res);
		}
		echo $res;
	}

本文出自:琅枫个人博客。如需转载请注明出处!

本文出处:"https://www.phpfeng.cn/learn/php/142.html"

如果您觉得文章对你有帮助,可以进行打赏。
打赏多少,您高兴就行,谢谢您对琅枫博客的支持! ~(@^_^@)~

微信打赏

琅枫博客微信号

支付宝打赏

琅枫博客个人支付宝
本文关键词: 漏洞 办法 文件



你想在庞大的互联网上留下一丝足迹?

我不想成为一个庸俗的人。十年百年后,当我们死去,质疑我们的人同样死去,后人看到的是裹足不前、原地打转的你,还是一直奔跑、走到远方的我?

点我了解如何搭建个人博客?