如何解决Wordpress sql注入混淆
最近我看到很多关于 wordpress 插件的 sql 注入的报告,例如 https://www.tenable.com/blog/cve-2020-27615-sql-injection-vulnerability-in-wordpress-loginizer-plugin
如果我进一步查看变更集,黑客可以通过
进行攻击`ip` = **'**".$loginizer['current_ip']."**'**
和 $loginizer['current_ip'] 基本上是从 $_SERVER (https://plugins.trac.wordpress.org/browser/loginizer/trunk/functions.php?rev=2401010) 中检索的
我不明白的是 $_SERVER 应该被 wp_magic_quotes 转义,所以它怎么可能容易受到攻击?我可以找到一些其他报告的例子,但我永远找不到绕过 wp_magic_quotes 的方法。有人可以帮我弄清楚吗?
欲知更多详情https://wpdeeply.com/loginizer-before-1-6-4-sqli-injection/
非常感谢,
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。