VULHUB ™

### 简要描述： 过滤不严。 ### 详细说明： 在member.php中 ``` case 'delcom': $comid = trim($_REQUEST['id']); $sql = "select userid from {$table}com where comid='$comid' "; $comuserid = $db->getOne($sql); if($comuserid!=$_userid)showmsg('此信息不是您发布的，您不能修改'); $sql = "SELECT thumb FROM {$table}com WHERE comid IN ($comid)"; $image = $db->getOne($sql); if($image != '' && is_file(PHPMPS_ROOT.$image)) { @unlink(PHPMPS_ROOT.$image); } $sql = "SELECT path FROM {$table}com_image WHERE comid IN ($comid)"; $image = $db->getAll($sql); foreach((array)$image AS $val) { if($val[path] != '' && is_file(PHPMPS_ROOT.$val[path])) { @unlink(PHPMPS_ROOT.$val[path]); } } ``` 可以看到$comid 没有Intval 而且带入了查询当中。。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201403/0122003351cab42fd2f899741f25abf3e1614a6b.jpg" alt="T7%]O18`O~H6_V}MXIH@L$V.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/0122003351cab42fd2f899741f25abf3e1614a6b.jpg) 成功延时。

### 简要描述： 过滤不严。 ### 详细说明： 在member.php中 ``` case 'delcom': $comid = trim($_REQUEST['id']); $sql = "select userid from {$table}com where comid='$comid' "; $comuserid = $db->getOne($sql); if($comuserid!=$_userid)showmsg('此信息不是您发布的，您不能修改'); $sql = "SELECT thumb FROM {$table}com WHERE comid IN ($comid)"; $image = $db->getOne($sql); if($image != '' && is_file(PHPMPS_ROOT.$image)) { @unlink(PHPMPS_ROOT.$image); } $sql = "SELECT path FROM {$table}com_image WHERE comid IN ($comid)"; $image = $db->getAll($sql); foreach((array)$image AS $val) { if($val[path] != '' && is_file(PHPMPS_ROOT.$val[path])) { @unlink(PHPMPS_ROOT.$val[path]); } } ``` 可以看到$comid 没有Intval 而且带入了查询当中。。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201403/0122003351cab42fd2f899741f25abf3e1614a6b.jpg" alt="T7%]O18`O~H6_V}MXIH@L$V.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/0122003351cab42fd2f899741f25abf3e1614a6b.jpg) 成功延时。