杭州神话信息技术有限公司

标题: 【紧急】针对3.0版本WAP页面的SQL注入漏洞修复补丁（2012.03.01更新） [打印本页]

作者: fox 时间: 2012-1-31 14:34:58 标题: 【紧急】针对3.0版本WAP页面的SQL注入漏洞修复补丁（2012.03.01更新）

最新更新时间：2012.03.01
非常抱歉由此给大家带来的麻烦，现推出官方修复补丁。
修复方法：
1、请下载对应编码的补丁包文件，并解压缩；
2、通过FTP上传到您网站目录覆盖已有文件（如果您有修改过相应的文件，请先做好备份）

GBK编码补丁包下载：
[attach]3453[/attach]

UTF8编码补丁包下载：
[attach]3454[/attach]

此补丁包不仅修复了所发现的问题，还可以全面预防未发现的此类sql攻击方式，要求所有用户均打上此补丁。

该帖已经同步到记事狗微博 fox的微博

作者: fox 时间: 2012-1-31 15:53:22

如果您安装的记事狗系统修改了较多的文件，不方便直接覆盖的，可以临时先手工修改

一、/wap/modules/pm.mod.php 文件

查找

extract($this->Get);
extract($this->Post);

复制代码

将这两行删除，位置在69行，70行

二、/modules/member.mod.php 文件和 /modules/settings.mod.php 文件
查找

id = ".$this->

复制代码

替换为

id = ". (int) $this->

复制代码

三、/include/db/mysql.db.php
查找

die($this->GetLastError($sql, $file, $line));

复制代码

替换为

exit;

复制代码

该帖已经同步到记事狗微博 fox的微博

作者: fox 时间: 2012-1-31 15:58:42

如果您网站管理员的密码为弱口令，请及时修改密码（长度越长越好，至少12位以上，包含数字、大小写字母、特殊符号）

该帖已经同步到记事狗微博 fox的微博

作者: byev 时间: 2012-1-31 16:07:26

啊不错支持一下啊什么时间升级啊？

该帖已经同步到记事狗微博 byev的微博

作者: chenbing8851 时间: 2012-1-31 18:45:38

该帖已经同步到记事狗微博 chenbing8851的微博

作者: 浪迹天涯℃ 时间: 2012-2-1 13:58:37

。。。。。。。。。

作者: caoying0907 时间: 2012-2-1 14:01:39

有没有3.0.3的全部系统漏洞补丁，官方给出一个。

作者: caoying0907 时间: 2012-2-1 16:31:48

本帖最后由 caoying0907 于 2012-2-1 16:37 编辑

问下，我们网站里面修改的东西比较多，下面给出的那个替换代码的和修改代码的是不是直接那么改就可以了，还是说一定要覆盖这个压缩包才能修复漏洞补丁呢

[attach]3451[/attach]

我已经按照这个方法修改过了

作者: cdjzx 时间: 2012-2-2 12:25:01

难怪这几天有人通过搜索“ JishiGou 3.0 stable ”进入我的网站，然后我的网站就莫名其妙的多了一个管理员，我还正想来咨询一下呢！

该帖已经同步到记事狗微博 lednh的微博

作者: feng521w 时间: 2012-2-2 15:23:52

已经被SQL注入的怎么办
我暂时关闭网站了，数据库被拖了
还好权限设置的严格其他网站没被影响

该帖已经同步到记事狗微博 feng521w的微博

作者: ram2000 时间: 2012-2-2 21:22:02

支持！支持

作者: lovegx999 时间: 2012-2-6 12:42:45

覆盖之后直接wap页面打不开·····

作者: fansxiao 时间: 2012-2-6 13:03:26

官方的补丁有问题打上之后删除微博和用户就会显示空白！

作者: feifeiaini1 时间: 2012-2-6 15:51:43

如果是最新下载的安装包，需要修复不

作者: wentan 时间: 2012-2-8 12:15:05

支持一个先了。呵呵

作者: ety001 时间: 2012-2-11 17:58:55

fansxiao 发表于 2012-2-6 13:03
官方的补丁有问题打上之后删除微博和用户就会显示空白！

我也遇到这个问题了。。。。

作者: 飞马2008 时间: 2012-2-13 09:05:44

fansxiao 发表于 2012-2-6 13:03
官方的补丁有问题打上之后删除微博和用户就会显示空白！

我也遇到这个问题

作者: 灵魂漫步 时间: 2012-2-19 08:24:30

好好，

作者: 博儀邦 时间: 2012-2-21 15:17:26

顶而不懈，遇到好贴决不能放过

有次去吃饭，结帐时对老板说：“老公！结帐！”当时老板娘就在旁边…… 药物化学论坛 url=http://www.yaojia.org/forum-36-1.html]药物化学论坛[/url

作者: ccccn 时间: 2012-3-2 02:27:51

本帖最后由 ccccn 于 2012-3-2 02:29 编辑

通过，正常。

作者: movespeed 时间: 2012-3-3 10:36:24

如果后台打好了补丁。。能显示成【已修复】状态吗？提心吊胆啊

作者: 维网 时间: 2012-3-23 21:24:14

修复完成

作者: bestbf 时间: 2012-3-24 03:27:30

突然冒出来的友情链接问题解决没？？

作者: 一生爱无悔 时间: 2012-4-4 10:39:12

现在有点小问题了,就是手机wap登陆不了.

作者: xiaomin489 时间: 2012-5-1 15:10:58

这是真的吗？太好了，谢谢您啊

北京篮球网 www.bjdunk.com 北京篮球, CUBA, 北京篮球赛, NIKE联赛

欢迎光临杭州神话信息技术有限公司 (http://www.cenwor.com/)