phpdisk代码设计缺陷导致SQL注入一枚

简要描述： 攒wb 详细说明： 漏洞存在版本为PHPDisk F-Core系列 测试版本为PHPDisk F-Core v1.1 20140703 SQL注入在发布资源时被触发，参数posttag为注入点，上代码 /modules/post.inc.php，第124行左右 $db-queryunbuffered"insert into $tpfposts set ".$db-sqlarray$ins.""; $pid = $db-insertid; maketags$tags,$tagarr,$pid; //注入点 $db-queryunbuffered"update...