phpmyadmin CVE-2016-6617 SQL注入漏洞
官方给出这个解决方案目前有两种,一种是升级版本(百度一下就有了),另外一种是打补丁。
版主升级版本并不能解决该漏洞,所以不抱希望的试了一下打补丁。
去吃个饭,回来在阿里云管理控制台(漏洞管理)竟然没有了。
结果还真搞定了。
补丁网址:https://github.com/phpmyadmin/phpmyadmin/commit/ceeef53
. PMA\libraries\Util::backquote($cfgRelation['export_templates']). " WHERE `username` = ". "'" . PMA\libraries\Util::sqlAddSlashes($GLOBALS['cfg']['Server']['user']). "' AND `export_type` = '" . $export_type . "'". "' AND `export_type` = '" . PMA\libraries\Util::sqlAddSlashes($export_type) . "'". " ORDER BY `template_name`;";$result = PMA_queryAsControlUser($query);
具体就是添如下代码:
. "' AND `export_type` = '" . PMA\libraries\Util::sqlAddSlashes($export_type) . "'"当然和版主代码不一样,版主模仿着写上去的(版主不是干php开发的)
此外版主还有一个漏洞就是:Discuz! 后台数据库备份功能命令执行漏洞
解决如下:
修改文件:/source/admincp/admincp_db.php
搜索代码:
$tablesstr .= '"'.$table.'" ';
修改成:
$tablesstr.='"'.addslashes($table).'"';---------------------------------------------------------搜索代码:
@unlink($dumpfile);
修改成:
@unlink($dumpfile); $tablesstr=escapeshellarg($tablesstr);
复制代码
如此解决了仅有的两个漏洞,第一次用PHP建站就有这漏洞,有时间自己撸一个网站,不知道java和vue做的网站安全性怎么样?
做完扫描看看。
phpmyadmin CVE-2016-6617 SQL注入漏洞相关推荐
- Apache 'mod_accounting'模块SQL注入漏洞(CVE-2013-5697)
漏洞版本: mod_accounting 0.5 漏洞描述: BUGTRAQ ID: 62677 CVE ID: CVE-2013-5697mod_accounting是Apache 1.3.x上的流 ...
- guestbook.php注入,TinyGuestBook 'sign.php'多个SQL注入漏洞
发布日期:2012-09-23 更新日期:2012-10-04 受影响系统: TinyGuestBook TinyGuestBook 描述: ----------------------------- ...
- WordPress ProPlayer插件‘id’参数SQL注入漏洞
漏洞名称: WordPress ProPlayer插件'id'参数SQL注入漏洞 CNNVD编号: CNNVD-201305-468 发布时间: 2013-05-22 更新时间: 2013-05-22 ...
- 【SQL注入-13】利用SQL注入漏洞读写文件案例
目录 1 读写文件的前提条件 1.1 secure-file-priv参数 1.1.1 作用 1.1.2 secure-file-priv参数值的查看 1.1.2.1 远程查看 1.1.2.2 本地查 ...
- 细数Django框架核心历史SQL注入漏洞(上)
本博客已搬迁至:https://n0puple.github.io/ 此处不再更新文章 本文首发于奇安信攻防社区:https://forum.butian.net/share/1923 本文仅用于技术 ...
- 易想团购 注入 user.php,易想团购系统通杀SQL注入漏洞分析及利用漏洞预警 -电脑资料...
刚打开红黑看到J8基友写的一个{易想团购系统 最新版 通杀}的文章,看他贴的代码里面有个get_client_ip()函数,哈哈,我猜没过滤,果断下了一套程序, 找到get_client_ip()函数 ...
- SQL注入漏洞的检测与防范技术
提 要 本文从SQL注入的基本概念和注入原理入手,分析总结了SQL注入漏洞的检测及其防范技术措施. 关键词 SQL注入漏洞 检测 防范技术 引 言 近几年来随着计算机网络和WEB技术的飞速 ...
- thinkphp日志泄漏漏洞_ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法...
ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件 根据官方文档对"防止SQL注入" ...
- Backtrack5 SQL注入漏洞探测
SQLMAP,它是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MS-SQL,,MYSQL,ORACLE和POSTGRESQL. SQLMAP ...
- WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...
最新文章
- 论文Fast and accurate short read alignment with Burrows-Wheeler transform
- idea 执行java maven,IDEA的run maven方式启动步骤详解
- JDK9的JShell简单使用
- linux关于bashrc与profile
- python实现杨辉三角形博客园_Python实现杨辉三角
- Qt样例学习1(数字时钟)
- 这个AI狠!能互译C++、Java和Python,以后只学一种编程就行吗
- BZOJ2759 一个动态树好题
- 数学建模按赛题划分常用代码
- 秒杀系统设计思路笔记
- mysql rds 是什么_mysql.rds.aliyuncs.com
- 苹果录屏没声音_苹果iPhone手机没声音不会响 电话扬声器无法正常工作的修复方法...
- windows下AS常用快捷键
- Web全栈~34.CAS
- MindMapper日期该如何进行选定
- verilog study-初级
- 碎碎念No.01 你是个自信的人嘛
- 电能管理系统在惠氏公司的应用
- 斗鱼直播Android开发二面被刷,工作感悟
- JAVA中List 转long[]的方法