您现在的位置是：首页 > cms教程 > phpcms教程phpcms教程

PHPCMS漏洞台注入导致任意文件读取的修复方法

含烟2025-05-02phpcms教程已有人查阅

导读关于phpcms前台注入导致任意文件读取漏洞的修复问题简介：phpcms的/phpcms/modules/content/down.php 文件中，对输入参数 $_GET['a_k'] 未进行严格过滤

关于phpcms前台注入导致任意文件读取漏洞的修复问题
简介：phpcms的/phpcms/modules/content/down.php 文件中，对输入参数 $_GET['a_k'] 未进行严格过滤，导致SQL注入的发生，黑客可利用该漏洞读取任意文件。
阿里云服务器提示漏洞问题。
解决办法：
1、根据简介中的漏洞提示，找到对应文件down.php的对应位置（ 8、89行附近），添加或替换相应的代码。
补丁代码片段如下：

$a_k = safe_replace($a_k);
parse_str($a_k);

修改后的补丁代码片段截图如下：
头一处修改， 8行附近：
第二处修改，第89行附近：
注意：头一处和第二处的补丁代码内容一样。
第三处修改， 20行附近：
补丁代码片段如下：

$fileurl = str_replace(array(''), '',$fileurl);
file_down($fileurl, $filename);

注意：经过实际测试，上述两行代码之间尽量不要有其他代码，以免被阿里云检测结果为修复无效。
2、然后，将修改好的文件，上传到服务器对应文件位置，直接覆盖；
3、最后，登录阿里云后台，点击验证(截图如下)，即可完成漏洞修复。

本文标签：

很赞哦！ ()

上一篇：PHPCMS漏洞authkey生成算法问题导致authkey泄露

下一篇：PHPCMS常见漏洞补丁修复方法

图文教程

相关源码

深蓝色风景摄影机构网站(自适应多端)pbootcms模板该模板基于PbootCMS内核开发，专为风景摄影机构、户外摄影企业设计，采用深蓝色主题传递专业与艺术感，全栈响应式架构确保PC、平板、手机端无缝适配PHP程序结合轻量级SQLite数据库也可以更换MySQL数据库查看源码
(自适应)蓝色环保科技设备带三级栏目网站模板下载该模板为环保科技企业设计，提供专业的产品展示与技术服务平台。采用响应式布局，适配环保设备、清洁技术等应用场景，通过可视化后台可快速搭建符合行业特性的展示网站。查看源码
(自适应响应式)双语LED照明灯饰灯具外贸网站pbootcms源码下载模板采用响应式设计，能自动适应手机、平板和电脑等多种设备屏幕，确保用户在不同设备上都能获得良好的浏览体验。同一后台管理，数据实时同步，操作简便高效。查看源码
(自适应响应式)化妆美容口红唇膏化妆品模板pbootcms源码下载基于PbootCMS开发的响应式模板，为化妆品品牌、美容机构打造，通过优雅的视觉呈现提升产品展示效果与品牌调性。采用时尚杂志排版风格，色卡系统规范产品展示。微交互动画增强用户体验，智能推荐算法提升产品关联展示效果。查看源码
自适应响应式绿色装修公司定制家居类pbootcms网站下载(自适应手机端)响应式全屋装修定制家居类网站pbootcms模板绿色装修公司网站源码下载PbootCMS内核开发的网站模板，该模板适用于装修定制网站、装查看源码
(自适应)pbootcms模板五金元件气缸气动系统源码下载基于PbootCMS核心开发的气缸气动系统网站模板，为五金元件、气动设备制造企业设计。采用响应式布局技术，自动适配手机、平板等移动设备，确保各类终端用户获得良好浏览体验。查看源码