PageAdmin网站内容管理系统(CMS)交流论坛

注册

 

QQ登录

只需一步,快速开始

返回列表
发新话题 回复该主题
查看: 2630|回复: 6

请问xiyou这个是什么漏洞错误 [复制链接]

菠萝的海
头像

  • PageAdmin学员
  • 107
  • 250
  • 2013-11-04
1#
t T
发表于 2016-08-13 14:24 |只看楼主

分享 转发
TOP
xiyou
头像

  • 管理员
  • 16341
  • 27138
  • 2015-11-29
2#
t T
发表于 2016-08-13 15:00 |只看该用户

在搜索模型中获取带url参数后通过Server.HtmlEncode过滤一下再调用就可以,直接用可能会执行url中的script脚本。
PageAdmin CMS-想到就能做到!
TOP
菠萝的海
头像

  • PageAdmin学员
  • 107
  • 250
  • 2013-11-04
3#
t T
发表于 2016-08-15 08:04 |只看楼主

回复 2楼xiyou的帖子

请教我下如何修改这个漏洞,非常感谢
TOP
菠萝的海
头像

  • PageAdmin学员
  • 107
  • 250
  • 2013-11-04
4#
t T
发表于 2016-08-15 08:11 |只看楼主

回复 2楼xiyou的帖子

我的搜索模型一值是原来的代码

<ul class="article">
<%
DataTable dt=Get_Data();
DataRow dr;
if(dt.Rows.Count>0)
{
for(int i=0;i<dt.Rows.Count;i++)
{
dr=dt.Rows;
%>
<li class="search"><span class="title">
<a href="<%=Detail_Url(dr)%>" target="_blank" title="<%=Server.HtmlEncode(dr["title"].ToString())%>" style="<%=dr["pa_style"]%>"><%=SubStr(dr["title"].ToString(),100,true)%></a></span>
<span class="date"><%=((DateTime)dr["thedate"]).ToString("yyyy-MM-dd")%></span>
</li>
<%
}
}
else
{
Response.Write("无匹配的记录,请更换关键字重新搜索!");
}
%>
</ul>
TOP
xiyou
头像

  • 管理员
  • 16341
  • 27138
  • 2015-11-29
5#
t T
发表于 2016-08-15 10:06 |只看该用户

这种没有问题,非法字符在程序后端已经忽略了,不会导致注入
PageAdmin CMS-想到就能做到!
TOP
菠萝的海
头像

  • PageAdmin学员
  • 107
  • 250
  • 2013-11-04
6#
t T
发表于 2016-08-15 11:14 |只看楼主

回复 5楼xiyou的帖子

我发现这个问题是由于搜索的时候 ,搜索框没有输入内容而导致出现这样的问题 是否有简单的解决方法
TOP
xiyou
头像

  • 管理员
  • 16341
  • 27138
  • 2015-11-29
7#
t T
发表于 2016-08-15 11:36 |只看该用户

没有什么问题,现在真正有效果的检测是360安全检测,其他很多都是忽悠乱扯的
PageAdmin CMS-想到就能做到!
TOP
上一主题| 下一主题
返回列表
发新话题 回复该主题
高级编辑器高级编辑器