来源:自学PHP网 时间:2015-04-17 10:15 作者: 阅读:次
[导读] 回复的时候邮箱可以XSS247 {248 if (empty($_REQUEST[#39;parent_id#39;]))249 {250 $sql = INSERT INTO .$ecs-table(#39;feedback#39;). (msg_title, msg_time , user_......
|
回复的时候邮箱可以XSS
247 {
248 if (empty($_REQUEST['parent_id']))
249 {
250 $sql = "INSERT INTO ".$ecs->table('feedback')." (msg_title, msg_time , user_id, user_name , ".
251 "user_email, parent_id, msg_content) ".
252 "VALUES ('reply', '".gmtime()."', '".$_SESSION['admin_id']." ', ".
253 "'".$_SESSION['admin_name']."', '".$_POST['user_email']. "', ".
254 "'".$_REQUEST['msg_id']."', '".$_POST['msg_content']."') ";
255 $db->query($sql);
256 }
这里直接把邮箱带入SQL语句中,在之前只做了addslashes
返回的时候又stripslashes() 了一次
 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
