您现在的位置是：首页 > cms教程 > phpcms教程phpcms教程

PHPCMS漏洞台注入导致任意文件读取的修复方法

含烟2025-05-02phpcms教程已有人查阅

导读关于phpcms前台注入导致任意文件读取漏洞的修复问题简介：phpcms的/phpcms/modules/content/down.php 文件中，对输入参数 $_GET['a_k'] 未进行严格过滤

关于phpcms前台注入导致任意文件读取漏洞的修复问题
简介：phpcms的/phpcms/modules/content/down.php 文件中，对输入参数 $_GET['a_k'] 未进行严格过滤，导致SQL注入的发生，黑客可利用该漏洞读取任意文件。
阿里云服务器提示漏洞问题。
解决办法：
1、根据简介中的漏洞提示，找到对应文件down.php的对应位置（ 8、89行附近），添加或替换相应的代码。
补丁代码片段如下：

$a_k = safe_replace($a_k);
parse_str($a_k);

修改后的补丁代码片段截图如下：
头一处修改， 8行附近：
第二处修改，第89行附近：
注意：头一处和第二处的补丁代码内容一样。
第三处修改， 20行附近：
补丁代码片段如下：

$fileurl = str_replace(array(''), '',$fileurl);
file_down($fileurl, $filename);

注意：经过实际测试，上述两行代码之间尽量不要有其他代码，以免被阿里云检测结果为修复无效。
2、然后，将修改好的文件，上传到服务器对应文件位置，直接覆盖；
3、最后，登录阿里云后台，点击验证(截图如下)，即可完成漏洞修复。

本文标签：

很赞哦！ ()

上一篇：PHPCMS漏洞authkey生成算法问题导致authkey泄露

下一篇：PHPCMS常见漏洞补丁修复方法

图文教程

相关源码

(自适应响应式)工业机床工程农业机械设备网站源码下载框架适用于工程机械、机床设备等工业领域。通过模块调整可快速转型为农业机械、物流设备展示系统。预留7种工业产品展示模板。查看源码
(自适应响应式)高端简繁双语HTML5金融资本咨询单页pbootcms模板采用响应式设计确保在各类手机端设备很好的呈现。该模板专注于金融咨询、资本管理等领域企业形象展示，通过结构化布局突出行业专业度与可信度，后台数据同步管理简化内容维护流程。查看源码
(自适应)调节阀门气动球阀控制阀网站模板源码下载为调节阀门、气动球阀等工业设备企业打造的响应式网站模板，基于PbootCMS系统开发。突出产品参数展示与技术文档管理功能，通过专业化的布局设计有效呈现工业设备特性，适配各类终端访问需求。查看源码
(自适应响应式)蓝色外贸英文产品介绍展示网站模板本模板采用手工编写的DIV+CSS架构，代码精简高效。适配手机端浏览，数据实时同步更新。内置SEO优化框架，支持独立设置各页面标题、关键词及描述。开源代码结构清晰，便于二次开发。查看源码
(自适应)物流运输快递仓储货运网站模板免费下载基于PbootCMS内核开发的物流运输行业专用模板，深度适配仓储货运企业的业务展示需求。前端采用响应式布局，自动适配手机端访问，后台数据实时同步更新，帮助企业高效展示运输网络、仓储设施、服务流程等核心业务模块。查看源码
HTML5响应式健身俱乐部pbootcms网站模板下载为健身俱乐部、瑜伽中心及运动场馆设计的响应式网站模板，采用PbootCMS内核开发，支持一键替换图文适配健身器材销售、瑜伽工作室等多类型运动健康产业。查看源码