PJBlog博客系统blogpost.asp页面log_CateID变量过滤不严导致SQL注入漏洞

在文件blogpost.asp中： div id="MsgHead"在【& lt;%=Conn.ExeCute"SELECT cateName FROM blogCategory WHERE cateID="& amp;Request.Form"logCateID"&""0%】发表日志/div //第162行 程序没有对变量logCateID过滤放入sql语句导致sql注入的产生。 3.0 Beta PJblog ------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://bbs.pjhome.net/thread-48122-1-1.html PO...