PHPCMS发布V9.6.3(20170515)升级补丁 修复SQL注入漏洞

V9.6.3 (20170515) 升级说明:

上传upload中的文件到网站根目录,覆盖原有文件。
登录后台-更新缓存

本补丁适用于20170503版本 升级到20170515版本。

更新说明:

修复down.php下载漏洞
修复登录的一处sql注入漏洞
加强多出加解密key的生成
修改几个语言包的文字错误

特别说明:

安装后没修改过auth_key的phpcms用户,请及时修改一下,防止被爆破。
位置:
caches\configs\system.php
phpsso_server\caches\configs\system.php

完整版下载地址:
GBK版本:http://download.phpcms.cn/v9/9.6/phpcms_v9.6.3_GBK.zip
UTF-8版本:http://download.phpcms.cn/v9/9.6/phpcms_v9.6.3_UTF8.zip

程序升级请使用下面的升级包(9.6.2升级到9.6.3):
GBK版本:http://download.phpcms.cn/v9/9.0/patch/gbk/patch_20170503_20170515_GBK.zip
UTF-8版本:http://download.phpcms.cn/v9/9.0/patch/utf8/patch_20170503_20170515_UTF8.zip

全部升级包下载地址:
http://download.phpcms.cn/v9/9.0/patch/

原文地址:http://bbs.phpcms.cn/thread-936338-1-1.html

预防注入的4条建议

1.假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等;

2.不要仅仅验证数据的类型,还要验证其格式、长度、范围和内容;

3.不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行;

4.对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查;

阅读全文

一个小巧的PHP防注入类

很多 web 开发者没有注意到 SQL 查询是可以被篡改的,因而把 SQL 查询当作可信任的命令。殊不知道,SQL 查询可以绕开访问控制,从而绕过身份验证和权限检查。更有甚者,有可能通过 SQL 查询去运行主机操作系统级的命令。

直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句的技术,从而达到取得隐藏数据,或覆盖关键的值,甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成 SQL 查询来实现的。下面将会给出一些真实的例子。

由于在缺乏对输入的数据进行验证,并且使用了超级用户或其它有权创建新用户的数据库帐号来连接,攻击者可以在数据库中新建一个超级用户。

下面分享一个用于防注入的PHP类:

阅读全文