全球主机交流论坛

标题: ZFAKA 漏洞修复 修复SQL注入漏洞 [打印本页]
作者: onepeople    时间: 2021-7-12 08:54
标题: ZFAKA 漏洞修复 修复SQL注入漏洞
请大家自行在下载https://github.com/zlkbdotnet/zfaka/blob/master/application/function/F_Network.php,进行覆盖application/function/F_Network.php更新;

感谢榆木 yumusb同学提供反馈与解决方案;

具体pull可浏览https://github.com/zlkbdotnet/zfaka/pull/237
作者: pulpfunction    时间: 2021-7-12 08:56
weiguan
作者: 超级无敌小马甲    时间: 2021-7-12 08:58
啊 之前想搭建 发现当面支付用不了
作者: TIMI    时间: 2021-7-12 09:01
提示: 作者被禁止或删除 内容自动屏蔽
作者: xiaozhenghi    时间: 2021-7-12 09:06
你是zfaka那人不,几年前买你的那个免签,一次也没登录上过,找你也不吭声。
作者: a2313153    时间: 2021-7-12 09:12
超级无敌小马甲 发表于 2021-7-12 08:58
啊 之前想搭建 发现当面支付用不了

一直用的当面付(支付宝),码支付(qq),v免(微信)没任何问题
作者: a2313153    时间: 2021-7-12 09:16
TIMI 发表于 2021-7-12 09:01
这个发卡 动不动就出漏洞 被人脱裤
都长达一两年了没更新了 作者说 开发2.0 也烂尾了
不知道为啥还抱着不放 ...

用过所有免费的最终还是用zf其他都多少有不满意的功能或操作方式,虽然用zf被黑过2次但改了后台限制ip后没再被黑,loc用的最多的个人发卡我看大部分也还是zf用的人多自然被发现漏洞概率更大,不存在没有漏洞的程序,没能力自己作也没条件定制开发只能选择自己最好用的免费
作者: 我是坏虫    时间: 2021-7-12 09:26
提示: 作者被禁止或删除 内容自动屏蔽
作者: 岳云鹏    时间: 2021-7-12 09:39
Zfaka真的很良心 哪个软件程序没有漏洞呢 发现修复就好了 支持作者 star star star
作者: h20    时间: 2021-7-12 09:39
提示: 作者被禁止或删除 内容自动屏蔽
作者: gg66    时间: 2021-7-12 10:11
xiaozhenghi 发表于 2021-7-12 09:06
你是zfaka那人不,几年前买你的那个免签,一次也没登录上过,找你也不吭声。 ...

我买了俩,他被搞去喝茶了,已经关了
作者: xiaozhenghi    时间: 2021-7-12 10:21
gg66 发表于 2021-7-12 10:11
我买了俩,他被搞去喝茶了,已经关了

我连登录都没登录过。
作者: 乌拉擦    时间: 2021-7-12 10:35
难受,之前也一直用
作者: coderzgh    时间: 2021-7-12 10:38
h20 发表于 2021-7-12 09:39
2021年了还有注入?

不懂知识点就不要水
随着web框架演进 不代表就不存在sql注入 编码不规范 仍然会有sql注入
作者: h20    时间: 2021-7-12 10:39
提示: 作者被禁止或删除 内容自动屏蔽
作者: a2313153    时间: 2021-7-12 10:43
h20 发表于 2021-7-12 10:39
2021年了还有编码不规范的程序员?

请大佬写个免费开源无任何漏洞,绝对支持(ಡωಡ)
作者: h20    时间: 2021-7-12 10:48
提示: 作者被禁止或删除 内容自动屏蔽
作者: 小沨    时间: 2021-7-12 10:49
感谢大佬修复
作者: Hellonet    时间: 2021-7-12 10:49
h20 发表于 2021-7-12 10:39
2021年了还有编码不规范的程序员?

你是不是活在自己的世界里了
作者: 圼逍遥    时间: 2021-7-12 10:59
期待大佬的新版
作者: junlabubu    时间: 2021-7-12 11:03
感谢大佬
作者: coderzgh    时间: 2021-7-12 11:03
h20 发表于 2021-7-12 10:48
注入这种已经不叫漏洞了,而是1+1=2的基础问题了,不要再告诉我2021年了还有人会去拼接sql语句 ...

都2021年了 对sql注入的印象还是停留在参数拼接
给你随便找个例子:https://c0d3p1ut0s.github.io/MyBatis%E6%A1%86%E6%9E%B6%E4%B8%AD%E5%B8%B8%E8%A7%81%E7%9A%84SQL%E6%B3%A8%E5%85%A5/

我只想说的 对自己不了解的领域 不要无脑下意识水
作者: h20    时间: 2021-7-12 11:09
提示: 作者被禁止或删除 内容自动屏蔽
作者: coderzgh    时间: 2021-7-12 11:11
h20 发表于 2021-7-12 11:09
省省吧,你说的都是使用不规范,不具有普遍操作性的东西就不要拿出来说了 ...

只能说身在安全行业的我 对你浅薄无知感到可笑
作者: h20    时间: 2021-7-12 11:12
提示: 作者被禁止或删除 内容自动屏蔽
作者: Hellonet    时间: 2021-7-12 11:24
本帖最后由 Hellonet 于 2021-7-12 11:26 编辑

255
作者: hosty    时间: 2021-7-12 12:01
coderzgh 发表于 2021-7-12 11:03
都2021年了 对sql注入的印象还是停留在参数拼接
给你随便找个例子:https://c0d3p1ut0s.github.io/MyBat ...

每个JAVA后端开发都知道的常识,mybatis $和#的区别,这个严格来说不能叫漏洞好叭。。
作者: hosty    时间: 2021-7-12 12:02
coderzgh 发表于 2021-7-12 11:03
都2021年了 对sql注入的印象还是停留在参数拼接
给你随便找个例子:https://c0d3p1ut0s.github.io/MyBat ...

你得拿出绕过mybatis预编译机制下的SQL注入才算有价值
作者: 我能做两个小时    时间: 2021-7-12 13:03
coderzgh 发表于 2021-7-12 11:03
都2021年了 对sql注入的印象还是停留在参数拼接
给你随便找个例子:https://c0d3p1ut0s.github.io/MyBat ...


不要搭理水王,“水王自称深圳土著”……忙得很
作者: coderzgh    时间: 2021-7-12 14:13
hosty 发表于 2021-7-12 12:02
你得拿出绕过mybatis预编译机制下的SQL注入才算有价值


请自行谷歌 sql绕过预编译  利用预编译来SQL注入 等关键词知识 或者查找2019强网杯相关题目自行学习
作者: hins    时间: 2021-7-12 14:55
h20 发表于 2021-7-12 10:39
2021年了还有编码不规范的程序员?

2021年了 高校里面用的还是零几年的教材 一大堆注入漏洞是实例呢 你以为啊
作者: h20    时间: 2021-7-12 15:16
提示: 作者被禁止或删除 内容自动屏蔽
作者: coderzgh    时间: 2021-7-12 15:30
h20 发表于 2021-7-12 15:16
不用管这些scriptkiddie说的东西

自己明明是论坛最大的小丑
mjj**的笑点
还不自知 晕



欢迎光临 全球主机交流论坛 (https://hostloc.onozo.cc/) Powered by Discuz! X3.4