VULHUB ™

### 简要描述： phpwind在实现占位符SQL过程中，代码质量出现了一个小黑点。 ### 详细说明： 在 phpwind/lib/utility/querybuilder.class.php _parseStatement函数内 在/phpwind/actions/ajax/leaveword.php 的一个引用处 Line 78行 $db->update(pwQuery::buildClause("UPDATE :pw_table SET leaveword=" . S::sqlEscape($atc_content) . " $sqladd WHERE pid=:pid AND tid=:tid", array($pw_posts, $pid, $tid))); 没考虑$atc_content内可能会有占位符 也没有考虑pid应该为数字，直接取了字符串 Line：31 S::gp(array( 'pid', 'atc_content', 'ifmsg' ), 'P'); 导致SQL注入 但是由于PW替换了等于号，替换了),无法导致非常严重的SQL注入漏洞。 当提交pid=asd，atc_content为:pid的情况下提示 Query Error: UPDATE pw_posts SET leaveword= ' 'asd' ' WHERE pid= 'asd' AND tid= '' ### 漏洞证明： [<img src="https://images.seebug.org/upload/201108/2613395041a6a83ac29f31f34cc76769ed125602.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201108/2613395041a6a83ac29f31f34cc76769ed125602.jpg)

### 简要描述： phpwind在实现占位符SQL过程中，代码质量出现了一个小黑点。 ### 详细说明： 在 phpwind/lib/utility/querybuilder.class.php _parseStatement函数内 在/phpwind/actions/ajax/leaveword.php 的一个引用处 Line 78行 $db->update(pwQuery::buildClause("UPDATE :pw_table SET leaveword=" . S::sqlEscape($atc_content) . " $sqladd WHERE pid=:pid AND tid=:tid", array($pw_posts, $pid, $tid))); 没考虑$atc_content内可能会有占位符 也没有考虑pid应该为数字，直接取了字符串 Line：31 S::gp(array( 'pid', 'atc_content', 'ifmsg' ), 'P'); 导致SQL注入 但是由于PW替换了等于号，替换了),无法导致非常严重的SQL注入漏洞。 当提交pid=asd，atc_content为:pid的情况下提示 Query Error: UPDATE pw_posts SET leaveword= ' 'asd' ' WHERE pid= 'asd' AND tid= '' ### 漏洞证明： [<img src="https://images.seebug.org/upload/201108/2613395041a6a83ac29f31f34cc76769ed125602.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201108/2613395041a6a83ac29f31f34cc76769ed125602.jpg)