sitestar某功能鸡肋sql(需要一定条件)

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: sql injection ### 详细说明: sitestar没有做全局的数据转义,很容易出现遗漏的地方。 测试版本sitestar_v2.7_build140505 出现问题的地方在module/mod_order.php 176行开始。 鸡肋的地方在于这是一个普通用户使用的积分兑换功能。需要用户最少有100积分才可以之星下面的逻辑。 ``` public function userjifen_save(){ $integral = ParamHolder::get('exchange'); if (trim(SessionHolder::get('SS_LOCALE')) != '') {// 多语言切换用 $curr_locale = trim(SessionHolder::get('_LOCALE')); } else { $curr_locale = DEFAULT_LOCALE; } $lang_sw = trim(ParamHolder::get('lang_sw', $curr_locale)); SessionHolder::set('mod_site/_LOCALE', $lang_sw); //读取积分总额: $curr_user_id = SessionHolder::get('user/id'); $o_user_ext = new UserExtend(); $curr_user_ext =& $o_user_ext->find("user_id=?", array($curr_user_id)); if (!$curr_user_ext) { $this->assign('json', Toolkit::jsonERR(__('Invalid ID!'))); return '_error'; } if ($curr_user_ext->total_point < 100 ){ echo '<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />'; echo '<script type="text/javascript"> alert("'.__('Sorry, membership points can be...

0%
暂无可用Exp或PoC
当前有0条受影响产品信息