1Next >
| ilank | 发表于:12-06-09 06:25 编辑于:06-09 09:10 [添加收藏] 楼主 [回复] #Top# |
|---|---|
 
人气:142
积分:113
金币:1692
|
比如在留言本“标题 或 姓名”里添加 <script>标题</script> 就会导致php后台 留言管理不能正常显示,造成管理功能失效。 -----//以下代码都经过测试-------------------------------------------------------------------------------------------------------
Ta最近还发表过
[疑问]
kingcms php版,留言回复后,不能再修改
(14-12-18)
[模板]
100个精品kingcms 专用模版,批量下载
(14-09-10)
[疑问]
kingcms php留言本过滤不严,管理页会出错
(13-05-20)
[建议]
kingcms后台路径可以自定义的吗?
(12-07-04)
[疑问]
kc php在出现 非法登录提示后,管理员无法登录
(12-07-02)
随机阅读
[分享]
百度不同IP段蜘蛛代表的意思
(13-04-17)
[分享]
浅谈获取高质量外链的两种技巧
(12-04-10)
[分享]
我现在每天都来瞧一瞧
(11-09-09)
[疑问]
有木有很好的ASP开源代码呀?
(11-07-28)
[其他]
有了这个坛子,我就没去珲春123水过了
(11-05-12)
|
| yuxinpop | 发表于:12-06-09 09:02 沙发 [回复] #Top# |
|---|---|
人气:146
积分:75
金币:9402
|
细心人!
|
| pktsandy | 发表于:12-06-09 11:23 板凳 [回复] #Top# |
|---|---|
人气:1181
积分:3438
金币:29313
|
打开/feedback/manage.php在115和118行加上过滤函数过滤一下
原115行:'".addslashes($rs['ktitle'])."', 现115行:'".addslashes(htmlspecialchars($rs['ktitle']))."', 原118行:'".addslashes($rs['kname'])."', 现118行:'".addslashes(htmlspecialchars($rs['kname']))."', |
| pktsandy | 发表于:12-06-09 11:33 4楼 [回复] #Top# |
|---|---|
|
人气:1181
积分:3438
金币:29313
|
同时在feedback/core.class.php中标签解析恶意脚本也会越狱
在新发行的包的138行: 原138行 $is[]=array('reply'=>$rs['kreply'],'rdate'=>$rs['krdate']); 现138行: $is[]=array('reply'=>safehtmlcode($rs['kreply']),'rdate'=>$rs['krdate']); |
1Next >