上次发的漏洞拿到奖励之后，看了几天没有收获，就看了一些其他的东西的代码，昨天拿起来再看居然发现了一个有意思的漏洞。

在discuz的7.2里有一段代码

include/search_sort.inc.php文件里的代码：
 

@include_once DISCUZ_ROOT.'./forumdata/cache/threadsort_'.$selectsortid.'.php';

而且这个$selectsortid变量没有做过任何处理，而且最后还进入到了SQL的查询语句里：
 

$query = $db->query("SELECT tid FROM {$tablepre}optionvalue$selectsortid ".($sqlsrch ? 'WHERE '.$sqlsrch : '')."");

应当是在开启了主题分类的网站可以进行SQL注射，而文件包含中的截断方法应该可以在部分主机上进行任意代码执行。

漏洞证明：

开启主题分类办法：

1，版块 ? 编辑版块 ? 主题分类 （开启）

2，左侧添加 分类信息类别

3，类别详情进行随意修改，保存

4，create出optionvale{$sortid}表，一般从3开始，几次就可以猜中。

修复方案：

把输入转换成数字类型