phpweb这套系统来源与medisoft,早起的破解版漏洞较多,最新升级的正版已经修改了很多漏洞,如果您还是用的破解版,那就需要注意了。
后台的万能密码着实吓人,网站后台暴露给任何人;
万能密码的用户名和密码: admin ‘or ‘1’=’1 或者1′ or 1=1 or ‘1’=’1
试下你的网站是不是也可以这样子登录。
修复方案:修改根目录下的post.php文件
$user =$_POST[‘user’];修改成
$user = mysql_real_escape_string($_POST[‘user’]);
做好一个可以直接替换的post.php文件(已经解密的post文件),16359648067747893343