phpdisk V7 补丁过滤不严继续注入

### 简要描述： 看到phpdisk 又更新了 再次上去看看。上面说的是 /*PHPDisk网盘系统 v7.0 20140422更新说明： 二次修正Cookie登录验证问题 修正获取文件链接权限问题 云上传造成sql注入问题*/ 修复了注入问题。 我勒个擦, 下载下来一看。 你这补丁完全打偏了啊。 没修复到实处。。 ### 详细说明： 在ajax.php中 上个漏洞地址： [WooYun: phpdisk V7 sql注入2](http://www.wooyun.org/bugs/wooyun-2014-056822) 看修改了哪些地方。 ``` $ins = array( 'yun_fid' => (int)$file[file_id],//补丁后这里转整 'file_name' => $db->escape($file[file_name]),//补丁后 这里转义。 'file_key' => $file_key, 'file_extension' => $db->escape($file[file_extension]),//补丁后 这里转义。 'file_mime' => 'application/octet-stream', 'file_description' => $db->escape($file[file_description]),//补丁后这里转义 'file_size' => (int)$file['file_size'], 'file_time' => $timestamp, 'is_checked' => $is_checked, 'in_share' => $in_share, 'report_status' => $report_status, 'userid' => $pd_uid, 'folder_id' => $folder_id ? $folder_id : -1, 'ip' => $onlineip, ); $sql = "insert into {$tpf}files set ".$db->sql_array($ins).";"; $db->query_unbuffered(is_utf8() ? $sql : iconv('utf-8','gbk',$sql)); ``` 怎么修复的是 insert 这里? ``` else{ $file = unserialize(base64_decode($data)); $num = @$db->result_first("select count(*) from {$tpf}files where yun_fid='{$file[file_id]}' and userid='$pd_uid'"); ``` 这里怎么不修复? 利用这里继续注入。 直接把语句输出来 [<img src="https://images.seebug.org/upload/201404/261756435db706cd653b1f1badaec5d14c22e5b4.jpg" alt="p3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/261756435db706cd653b1f1badaec5d14c22e5b4.jpg) ### 漏洞证明： 见上面。