PHP-Nuke WebLinks SQL-Инъекция
В модуле WebLinks обнаружен баг в функции TopRated()
PHP код:
//...... function TopRated($ratenum, $ratetype) { //........ if ($ratenum != "" && $ratetype != "") { $toplinks = $ratenum; } //........... $result = $db->sql_query("SELECT lid, cid, sid, title, description, date, hits, linkratingsummary, totalvotes, totalcomments from ".$prefix."_links_links where linkratingsummary != 0 and totalvotes >= $linkvotemin order by linkratingsummary DESC limit 0,$toplinks");
Отсутствует проверка переменной $ratenum на любые символы.
Решение проблеммы:
после:
PHP код:
function TopRated($ratenum, $ratetype) { global $prefix, $db, $admin, $module_name, $user;
Ниже добавить:
PHP код:
$ratenum=intval($ratenum);
Найдите:
PHP код:
function MostPopular($ratenum, $ratetype) { global $prefix, $db, $admin, $module_name, $user, $admin_file;
Ниже добавьте:
PHP код:
$ratenum=intval($ratenum);
|