Iwebsns sql 第五枚。

### 简要描述： 过滤不严格。 ### 详细说明： 在action/msgscript/msg_del.action.php中 ``` $msg_id=intval(get_argg("id")); $user_uid=get_sess_userid(); $del_array=get_argp("attach"); //数据表定义区 $t_msg_inbox = $tablePreStr."msg_inbox"; $t_msg_outbox = $tablePreStr."msg_outbox"; $dbo = new dbex; //读写分离定义函数 dbtarget('w',$dbServs); if($del_array==NULL){ $del_array[]=$msg_id; } foreach($del_array as $rs){ $rs=short_check($rs); if(get_argg("t")=="0"){ $sql="delete from $t_msg_inbox where mess_id=$rs and user_id=$user_uid"; echo $sql;exit; ``` 这里对$del_array循环出来后 用short_check过滤。 short_check 只是做一个addslashes 和 过滤# 这里是没有被单引号的。 所以轻松注入。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/18125255fe11e3d4bf17b379499708d48c223c6e.jpg" alt="i3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/18125255fe11e3d4bf17b379499708d48c223c6e.jpg) [<img src="https://images.seebug.org/upload/201405/1812531392a2ac4dac6d3b3d79fdd620ea5ec296.jpg" alt="i4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1812531392a2ac4dac6d3b3d79fdd620ea5ec296.jpg)