phpBP id参数远程SQL注入漏洞

BUGTRAQ ID: 28272 PHPBP是在波兰广泛使用的网站内容管理系统。 PHPBP的includes/functions/banners-external.php脚本文件中没有正确地验证对id参数的输入，允许远程攻击者通过提交特制的SQL查询请求执行SQL注入攻击。 以下是有漏洞的代码段： ... 3 function bannerout //zlicza ilosc klikniec na banner 4 5 global $conf; 6 7 if$GET'id' 8 9 SQLvalidate$POST'id'; 10 11 $db = new dbquery; 12...