微赞/微擎文件编辑SQL注入（漏洞补丁）

漏洞名称：微擎文件编辑SQL注入

补丁文件：/web/source/site/article.ctrl.php

补丁来源：阿里云云盾自研

漏洞描述：微擎的/web/source/site/article.ctrl.php中对$_GPC[‘template‘]、$_GPC[‘title‘]、$_GPC[‘description‘]、$_GPC[‘source‘]、$_GPC[‘author‘]参数未进行正确转义过滤，导致SQL注入的产生。

解决方法1、搜索代码 message(‘标题不能为空，请输入标题！‘); 如下图： 

2、在 82 行 前添加代码

1. mysql_set_charset("gbk");
   
2. $_GPC[‘template‘] = mysql_real_escape_string($_GPC[‘template‘]);
   
3. $_GPC[‘title‘] = mysql_real_escape_string($_GPC[‘title‘]);
   
4. $_GPC[‘description‘] = mysql_real_escape_string($_GPC[‘description‘]);
   
5. $_GPC[‘source‘] = mysql_real_escape_string($_GPC[‘source‘]);
   
6. $_GPC[‘author‘] = mysql_real_escape_string($_GPC[‘author‘]);

复制代码

修改后如图：