phpweb网站的万能密码漏洞及修复方案

phpweb这套系统来源与medisoft,早起的破解版漏洞较多,最新升级的正版已经修改了很多漏洞,如果您还是用的破解版,那就需要注意了。

后台的万能密码着实吓人,网站后台暴露给任何人;

万能密码的用户名和密码: admin ‘or ‘1’=’1 或者1′ or 1=1 or ‘1’=’1

试下你的网站是不是也可以这样子登录。

修复方案:修改根目录下的post.php文件

$user =$_POST[‘user’];修改成

$user = mysql_real_escape_string($_POST[‘user’]);

做好一个可以直接替换的post.php文件(已经解密的post文件),16359648067747893343