Iwebsns sql 第三枚。

### 简要描述： 过滤不严。 ### 详细说明： 在action/users/user_del_hi.action.php中 ``` $user_id = get_sess_userid(); $hi_id = short_check(get_argg('hi_id')); $del_array=get_argp("attach"); //数据表定义区 $t_hi = $tablePreStr."hi"; $dbo = new dbex; //读写分离定义函数 dbtarget('w',$dbServs); if($del_array==NULL){ $del_array[]=$hi_id; } foreach($del_array as $rs){ $rs=short_check($rs); $sql="delete from $t_hi where hi_id=$rs"; ``` 这里foreach $del_array 后 然后经过short_check ``` function short_check($str) { $MaxSlen=500;//限制短输入项最多300个字符 if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否打开 { $str = addslashes($str); // 进行过滤 } $str = LenLimit($str,$MaxSlen); $str = str_replace(array("\'","\\","#"),"",$str); if($str!=''){ $str= htmlspecialchars($str); } return preg_replace("/　+/","",trim($str)); } ``` 限制了300个字符以内 足够了。。 , 然后转义 然后把\' 替换成空 但是这里是数字型的注入。 所以用不着单引号 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/10141525da6277d4356b11ed529f2d5633779657.jpg" alt="i4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/10141525da6277d4356b11ed529f2d5633779657.jpg) [<img src="https://images.seebug.org/upload/201405/10141555769eccb17d98f003efd867d293c9a9ec.jpg" alt="i5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/10141555769eccb17d98f003efd867d293c9a9ec.jpg)