Discuz7.2版的faq.php SQL注入漏洞分析

漏洞分析： by phithon

代码如下:

... ksort($gids); $groupids = array(); foreach($gids as $row) { $groupids[] = $row[0]; }

$query = $db->query("SELECT * FROM {$tablepre}usergroups u LEFT JOIN {$tablepre}admingroups a ON u.groupid=a.admingid WHERE u.groupid IN (".implodeids($groupids).")"); ... } function implodeids($array) { if(!empty($array)) { return "'".implode("','",is_array($array) ? $array : array($array))."'"; } else { return ''; } }

首先定义一个数组groupids，然后遍历$gids（这也是个数组，就是$_GET[gids]），将数组中的所有值的第一位取出来放在groupids中。

为什么这个操作就造成了注入？

discuz在全局会对GET数组进行addslashes转义，也就是说会将'转义成'，所以，如果我们的传入的参数是：gids[1]='的话，会被转义成$gids[1]='，而这个赋值语句$groupids[] = $row[0]就相当于取了字符串的第一个字符，也就是，把转义符号取出来了。

再看后面，在将数据放入sql语句前，他用implodeids处理了一遍。我们看到implodeids函数

很简单一个函数，就是将刚才的$groupids数组用','分割开，组成一个类似于'1','2','3','4'的字符串返回。

但是我们的数组刚取出来一个转义符，它会将这里一个正常的'转义掉，比如这样： '1','','4' 有没有看出有点不同，第4个单引号被转义了，也就是说第5个单引号和第3个单引号闭合。

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!