您现在的位置是：首页 > cms教程 > phpcms教程phpcms教程

PHPCMS漏洞台注入导致任意文件读取的修复方法

含烟2025-05-02phpcms教程已有人查阅

导读关于phpcms前台注入导致任意文件读取漏洞的修复问题简介：phpcms的/phpcms/modules/content/down.php 文件中，对输入参数 $_GET['a_k'] 未进行严格过滤

关于phpcms前台注入导致任意文件读取漏洞的修复问题
简介：phpcms的/phpcms/modules/content/down.php 文件中，对输入参数 $_GET['a_k'] 未进行严格过滤，导致SQL注入的发生，黑客可利用该漏洞读取任意文件。
阿里云服务器提示漏洞问题。
解决办法：
1、根据简介中的漏洞提示，找到对应文件down.php的对应位置（ 8、89行附近），添加或替换相应的代码。
补丁代码片段如下：

$a_k = safe_replace($a_k);
parse_str($a_k);

修改后的补丁代码片段截图如下：
头一处修改， 8行附近：
第二处修改，第89行附近：
注意：头一处和第二处的补丁代码内容一样。
第三处修改， 20行附近：
补丁代码片段如下：

$fileurl = str_replace(array(''), '',$fileurl);
file_down($fileurl, $filename);

注意：经过实际测试，上述两行代码之间尽量不要有其他代码，以免被阿里云检测结果为修复无效。
2、然后，将修改好的文件，上传到服务器对应文件位置，直接覆盖；
3、最后，登录阿里云后台，点击验证(截图如下)，即可完成漏洞修复。

本文标签：

很赞哦！ ()

上一篇：PHPCMS漏洞authkey生成算法问题导致authkey泄露

下一篇：PHPCMS常见漏洞补丁修复方法

图文教程

相关源码

(PC+WAP)化工材料企业环保能源绿色营销型pbootcms模板源码下载本模板为化工材料及环保能源企业设计，采用PbootCMS开发，可展示各类化工产品、环保技术及能源解决方案。查看源码
(PC+WAP)蓝色电缆桥架五金钢结构机械PbootCMS模板下载采用PC与WAP双端适配设计，满足桌面设备和移动端访问需求。专注服务于电缆桥架、钢结构及五金机械制造领域，通过结构化布局展示产品特性与技术参数，后台数据一体化管理提升内容维护效率。查看源码
(自适应)水墨风中药馆中医名医介绍pbootcms网站模板本模板基于PbootCMS内核开发，为中医馆、中医药企业量身定制，可快速搭建具有传统文化特色的官方网站。自适应手机端设计，数据实时同步，助您高效展示中医特色诊疗、中药产品、养生知识等内容，塑造专业品牌形象。查看源码
(自适应响应式)html5文章资讯新闻博客pbootcms网站模板下载本模板基于PbootCMS系统开发，为新闻资讯、博客类网站设计，特别适合各类文章内容的发布与管理。采用响应式技术，确保在不同设备上都能获得良好的阅读体验。查看源码
(自适应)代理记账财务会计咨询服务个人公司网站模板该响应式网站模板为代理记账、财政咨询及财务会计类企业设计，基于PbootCMS内核开发。通过自适应手机端的HTML5技术，帮助企业高效构建专业财税服务平台查看源码
帝国cms7.5个人博客资讯文章模板下载本模板简洁个人博客网站设计开发，采用帝国CMS内核构建，只需替换文字图片即可快速搭建专业网站。自适应手机端设计，数据实时同步，操作简单便捷。PHP程序确保安全稳定运行，帮助您以较低成本获取持续业务。查看源码