微擎二次注入漏洞涉及文件web/source/mc/fangroup.ctrl.php

web/source/mc/fangroup.ctrl.php   

修复方案

打开文件:

web/source/mc/fangroup.ctrl.php

搜索查找如下代码:

tablename('mc_mapping_fans')   这个代码在60行

找到完整代码:

$sql .= 'UPDATE ' . tablename('mc_mapping_fans') . " SET `groupid`='" . $tagids . "' WHERE `fanid`={$fans['fanid']};";
pdo_query($sql);

将上段完整代码替换成以下代码:

$sql = 'UPDATE ' . tablename('mc_mapping_fans') . " SET `groupid`= :tagids WHERE `fanid`=:fanid;";
pdo_query($sql, array(":tagids" => $tagids, ":fanid" => $fans['fanid']) );

保存,提交检测验证。