漏洞出現在訂單處理頁面dorder.php。
**如下:
<?php //設定工程相對路徑
$root_path="./";
require_once("$root_path/lib/config.php");
require_once("$root_path/data/dconfig.php");
if(isset($_post['realname']))else
if($mailok==1 && $smtpusermail && $smtpemailto){
//傳送
require_once("$root_path/lib/email.class.php");
$mailbody .="
漏洞很明顯,$ip處沒有過濾,產生注入。
$ip=ip();
$sql = "insert into dindan (pro_name,pay_type,pay_time, realname,tel,tel2,addess,guest,ips,lastdate,qq,post,mun,email,shen) " .
"values ('$pro_name','$pay_type','$pay_time','$realname','$tel','$tel2','$addess','$guest','$ip',now(),'$qq','$post','$mun','$email','$referer')";
後台拿shell也很簡單,可以直接插一句話的,在設定那兒有兩處可以直接插直接寫入檔案。
www.2cto.com 提供修復思路:
過濾$ip
設計乙個玩具訂單系統
設計乙個玩具經銷商使用的訂單錄入系統。將會有vendors表存放產品的 商 products表存放產品的目錄 customers表存放每個客戶的資訊 orders表存放顧客訂單 orderitems表存放每個訂單的 sams teach yourself sql in 10 minutes exam...
免費的客戶訂單及商品管理系統
百寶雲客戶訂單及商品管理系統 客戶訂單及商品管理系統的主要目的是實現對客戶,商品,訂單資訊的管理。使用百寶雲表單系統開發設計,免費使用,資料準確 及時 簡單便利。通過訂單的資訊表,管理者可隨時掌握商品和訂單的情況。一 客戶訂單系統,這個表的作用是訂單錄入,只要輸入姓名 和選擇商品名稱,關聯的資料就會...
我有乙個訂單系統,訂單日增加1000萬,怎麼設計表
2017年6月14日 mysql tps 可以達到1000 s 下面的某些結論需要重新考察 首先我有個訂單系統,每天1000萬單。我會在部落格上寫招聘啟示,招一批工程師來做開發。好吧,可惜我沒有,所以只能自己程式設計了。每天增量1000萬,很恐怖。先計算平均qps 10000000 24 3600 ...