极品分享

dedecms支付模块注入漏洞/include/payment/alipay.php

标题:dedecms支付模块注入漏洞

描述:DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。

文件:/include/payment/alipay.php

解决方案:

大约在136行 /* 取得订单号 */

补丁前: 

$order_sn = trim($_GET['out_trade_no']);

将该段代码修改为:

$order_sn = trim(addslashes($_GET['out_trade_no']));


2018-06-27 0 /
PHP学习
/
标签: 

评论回复

回到顶部