微擎1.5.4二次注入 阿里云提示微擎二次注入漏洞修复方案

弘毅

阿里云漏洞描述：微擎1.5.4二次注入
sql语句查询前未作处理为sql注入漏洞的根源，同时多个sql语句拼接执行，使攻击者可以注入更长的代码。最后查询的变量用户可以控制，所以最终该漏洞可以实施攻击。

1. 文件路径：/web/source/mc/fangroup.ctrl.php

复制代码

修改整个文件代码为：

1. <?php
   
2. /**
   
3. * [WeEngine System] Copyright (c) 2014 WE7.CC
   
4. * WeEngine is NOT a free software, it under the license terms, visited http://www.we7.cc/ for more details.
   
5. */
   
6. defined('IN_IA') or exit('Access Denied');
   
7. uni_user_permission_check('mc_fangroup');
   
8. load()->model('mc');
   
9. $dos = array('post', 'display', 'del');
   
10. $do = !empty($_GPC['do']) && in_array($do, $dos) ? $do : 'display';
    
11. 
    
12. if ($do == 'display') {
    
13.         $tags = mc_fans_groups(true);
    
14. }
    
15. 
    
16. if ($do == 'post') {
    
17.         $account = WeAccount::create($_W['acid']);
    
18.         if (!empty($_GPC['tagname'])) {
    
19.                 foreach ($_GPC['tagname'] as $key => $value) {
    
20.                         $value = trim($value);
    
21.                         if (!empty($value) && trim($_GPC['origin_name'][$key]) != $value) {
    
22.                                 $state = $account->fansTagEdit($_GPC['tagid'][$key], $value);
    
23.                                 if (is_error($state)) {
    
24.                                         message($state['message'], url('mc/fangroup/'), 'error');
    
25.                                 }
    
26.                         }
    
27.                 }
    
28.         }
    
29.         if (!empty($_GPC['tag_add'])) {
    
30.                 foreach ($_GPC['tag_add'] as $value) {
    
31.                         $value = trim($value);
    
32.                         if (!empty($value)) {
    
33.                                 $state = $account->fansTagAdd($value);
    
34.                                 if (is_error($state)) {
    
35.                                         message($state['message'], url('mc/fangroup/'), 'error');
    
36.                                 }
    
37.                         }
    
38.                 }
    
39.         }
    
40.         message('保存标签名称成功', url('mc/fangroup/'), 'success');
    
41. }
    
42. 
    
43. if ($do == 'del') {
    
44.         $tagid = intval($_GPC['__input']['id']);
    
45.         $account = WeAccount::create($_W['acid']);
    
46.         $tags = $account->fansTagDelete($tagid);
    
47.         if (!is_error($tags)) {
    
48.                 $fans_list = pdo_getall('mc_mapping_fans', array('groupid LIKE' => "%,{$tagid},%"));
    
49.                 $count = count($fans_list);
    
50.                 if (!empty($count)) {
    
51.                         $buffSize = ceil($count / 500);
    
52.                         for ($i = 0; $i < $buffSize; $i++) {
    
53.                                 $sql = '';
    
54.                                 $buffer = array_slice($fans_list, $i * 500, 500);
    
55.                                 foreach ($buffer as $fans) {
    
56.                                         $tagids = trim(str_replace(','.$tagid.',', ',', $fans['groupid']), ',');
    
57.                                         if ($tagids == ',') {
    
58.                                                 $tagids = '';
    
59.                                         }
    
60.                                         $sql = 'UPDATE ' . tablename('mc_mapping_fans') . " SET `groupid`= :tagids WHERE `fanid`=:fanid;"; pdo_query($sql,array(":tagids" => $tagids, ":fanid" => $fans['fanid'])); }                                         }        
    
61.                 }
    
62.                 pdo_delete('mc_fans_tag_mapping', array('tagid' => $tagid));
    
63.                 message(error(0, 'success'), '', 'ajax');
    
64.         } else {
    
65.                 message(error(-1, $tags['message']), '', 'ajax');
    
66.         }
    
67. }
    
68. template('mc/fansgroup');

复制代码