问题代码:
Discuz_6.1.0F_SC_UTF8/include/editpost.inc.php 288行
$pollarray = ''; $pollarray['options'] = $polloption; if($pollarray['options']) { if(count($pollarray['options']) > $maxpolloptions) { showmessage('post_poll_option_toomany'); } foreach($pollarray['options'] as $key => $value) {//这里直接解析出来没处理$key if(!trim($value)) { $db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");//直接带入key值 unset($pollarray['options'][$key]); }
对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。
问题复现:
首先需要一个有新建投票帖子的权限的用户,这里本地搭建,就用admin进行测试
评论