您现在的位置是：首页 > cms教程 > phpcms教程phpcms教程

PHPCMS漏洞台注入导致任意文件读取的修复方法

含烟2025-05-02phpcms教程已有人查阅

导读关于phpcms前台注入导致任意文件读取漏洞的修复问题简介：phpcms的/phpcms/modules/content/down.php 文件中，对输入参数 $_GET['a_k'] 未进行严格过滤

关于phpcms前台注入导致任意文件读取漏洞的修复问题
简介：phpcms的/phpcms/modules/content/down.php 文件中，对输入参数 $_GET['a_k'] 未进行严格过滤，导致SQL注入的发生，黑客可利用该漏洞读取任意文件。
阿里云服务器提示漏洞问题。
解决办法：
1、根据简介中的漏洞提示，找到对应文件down.php的对应位置（ 8、89行附近），添加或替换相应的代码。
补丁代码片段如下：

$a_k = safe_replace($a_k);
parse_str($a_k);

修改后的补丁代码片段截图如下：
头一处修改， 8行附近：
第二处修改，第89行附近：
注意：头一处和第二处的补丁代码内容一样。
第三处修改， 20行附近：
补丁代码片段如下：

$fileurl = str_replace(array(''), '',$fileurl);
file_down($fileurl, $filename);

注意：经过实际测试，上述两行代码之间尽量不要有其他代码，以免被阿里云检测结果为修复无效。
2、然后，将修改好的文件，上传到服务器对应文件位置，直接覆盖；
3、最后，登录阿里云后台，点击验证(截图如下)，即可完成漏洞修复。

本文标签：

很赞哦！ ()

上一篇：PHPCMS漏洞authkey生成算法问题导致authkey泄露

下一篇：PHPCMS常见漏洞补丁修复方法

图文教程

相关源码

快递物流公司pbootcms网站模板html响应式自适应源码下载基于HTML5+CSS3前沿技术开发，实现PC、平板、手机多端自适应。采用弹性布局与媒体查询技术，确保不同设备均有流畅视觉体验，企业形象统一。查看源码
(PC+WAP)绿色硅胶橡胶玩具制品营销型网站源码下载为硅胶橡胶制品及玩具行业打造的营销型网站模板，采用PbootCMS内核开发，通过模块化设计实现产品参数、安全认证、应用场景等专业内容的可视化呈现，助力企业建立可信赖的线上展示平台。查看源码
(自适应响应式)英文外贸医疗科研耗材设备pbootcms网站模板为医疗设备和外贸企业设计的响应式网站模板，基于PbootCMS系统开发。突出医疗产品认证展示和国际化特性，通过专业化的产品参数展示模块和文档管理系统，满足医疗行业严格的信息披露要求。查看源码
(自适应)工业机械制造设备网站pbootcms模板下载为机械制造、工业设备类企业设计，特别适合各类机械设备、生产线、工业自动化产品展示。采用响应式技术，确保在不同设备上都能清晰展示机械产品的技术参数和细节特点。查看源码
(PC+WAP)地暖热水器烘干机节能设备网站模板下载为地暖热水器及节能设备企业设计的PbootCMS网站模板，集成产品展示、节能方案介绍、技术参数说明等专业模块。采用PC与移动端同步响应架构查看源码
(自适应)平面设计网络工作室个人作品展示网站模板免费下载基于PbootCMS内核开发的响应式网站模板，为设计工作室、创意机构打造的作品展示解决方案。通过模块化布局与极简交互设计，呈现设计作品的视觉细节，支持作品分类、案例解析等多维度展示方式。查看源码