阿里云检测到的微擎二次注入漏洞fangroup.ctrl.php文件修复
目录: web/source/mc/fangroup.ctrl.php
找到这个文件后搜索代码:
tablename('mc_mapping_fans')
找到整行的代码:
$sql .= 'UPDATE ' . tablename('mc_mapping_fans') . " SET `groupid`='" . $tagids . "' WHERE `fanid`={$fans['fanid']};";
pdo_query($sql);
替换为:
$sql = 'UPDATE ' . tablename('mc_mapping_fans') . " SET `groupid`= :tagids WHERE `fanid`=:fanid;";
pdo_query($sql, array(":tagids" => $tagids, ":fanid" => $fans['fanid']) );
保存文件,然后回阿里云检测。