最近深蓝网络有些客户用阿里云的主机,收到短信说,阿里云那边提示漏洞了,我们这边技术马上检查修复,关于 SESSION变量覆盖导致SQL注入的漏洞,文件在include/common.inc.php。
那么我们就来说说怎么去修复它吧,首先打开include/common.inc.php。
搜索if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )(大概在68行左右)
替换成
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
老规矩大红色地方标记了修改的地方,然后保存,接着备份原文件,比如文件名变为common.inc.php.bak。然后上传修改好的文件即可。有了漏洞大家最好都早日修复。