PHPMyWind後台管理介面的SQL注入漏洞

2021-12-30 04:14:51 字數 1153 閱讀 6404

後台管理介面因為過濾不嚴格導致sql注入漏洞,可以使許可權較低的管理員取得較高許可權,以及獲取並修改超級管理員的使用者名稱密碼。

else if($action == 'update')

//只有超級管理員才有權修改超級管理員

下面的很多sql語句的引數,都沒有過濾。

86行 

$r = $dosql->getone("select `password` from `admin` where id=$id");

79行 

$sql = "update `$tbname` set nickname='$nickname', question='$question', answer='$answer', levelname='$levelname', checkadmin='$checkadmin' where id=$id";

93行 

$sql = "update `$tbname` set password='$password', nickname='$nickname', question='$question', answer='$answer', levelname='$levelname', checkadmin='$checkadmin' where id=$id";

115行

$sql = "update `$tbname` set checkadmin='false' where `id`=$id";

總之就是都沒有過濾

修復方案:

intval()

Hybird 後台介面和後台管理介面

offlineresourceinfo介面引數 offlineresourceinfo介面返回結構體 引數說明 name 模組名 version 公升級版本 md5 資源包 md5 isfull 是否是全量公升級包 資源包需上傳到七牛空間offlineh5,路徑為模組名 activity.full ...

swagger管理後台介面

swagger 是乙個rest apis文件生成工具。1.swagger可是直接嵌入到專案中,在介面上加上介面的註解描述,自動生成介面文件。2.很方便管理和測試後台介面。下面是swagger的基礎配置 configuration enableswagger2 public class swagger...

django後台管理介面美化

django自帶後台管理系統,但是介面略顯 簡陋 建立資料庫表和管理員資訊 python manage.py migrate 初始化預設表資訊 python manage.py createsuperuser 建立後台管理員賬號 只需兩步 setting.py ui 新增 django.contri...