Php和代码注入

The website for a client of mine continues to be "hacked" (I didn't do the website).The hacked pages contain a js script that loads an image and audio from youtube (Lol). Every page was modified and every page has a "news banner" .I'm pretty sure the problem is this part

    <?php 
$ul = new NewsList; 
$ul->Load(3); 
if($ul->Current() == null){ ?> 
<?php   } 
else{ 
for(; $ul->Current() != null; $ul->Next()){ 
$new = $ul->Current();

the complete implementation of this NewsList : http://pastebin.com/WuWjcJ4p

I'm not a php programmer so I don't get where the problem is....I'm not asking that someone going to explain every line, maybe only an advice , thank you

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dpxyfa4718 2014-03-08 09:34
关注
Sounds like an SQL injection.

I believe the loadById() method is injectable (depending on how you call it).

Here is a way to strengthen it :

function LoadById($id){ $this->news = array(); $this->current = 0; $this->total = 0; $ndb = new NewsDB('news'); $result = $ndb->_query("SELECT * FROM ".$ndb->table." WHERE id = " . intval($id)); $new = mysql_fetch_assoc($result); $n = new News($new['id'], $new['titolo'], $new['data'], $new['contenuto'], $new['img']); array_push($this->news, $n); unset($n); $this->total = 1; }

Someone might have stolen the passwords from administration using this security flaw and edited the articles from the back-office.

So I suggest you change this code, then change the passwords, delete all php sessions, and finally edit your articles to remove this "news banner".

Note that it might as well be a stored XSS. Do you have a system which allows to comment the news?
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

Php和代码注入 javascript php
2014-03-08 09:29

回答 1 已采纳 Sounds like an SQL injection. I believe the loadById() method is injectable (depending on how you
php前端传参问题后端接收 javascript php 前端
2021-09-19 14:12

回答 1 已采纳导航页面链接加上对应参数，比如 ?index=home然后index界面$_GET["index"]，再判断index等于什么什么，再从后端输出内容
前端jquery显示和隐藏的问题 php 前端
2022-05-07 17:28

回答 3 已采纳 if（bb==0){ $("#aa").show()； }else if(bb==1){ $("#aa").hide()； }
PHP代码注入
2021-04-16 20:54

小亮酸Q糖的博客 PHP代码执行注入（web方面）是指应用程序过滤不严格，用户可以通过请求将代码注入到应用中执行。代码执行类似于SQL注入漏洞。代码执行是可以把代码注入到应用中最终由服务器运行它，这样的漏洞如果没有特殊的过滤，...
引用的php代码莫名奇妙被注释 html php 前端
2022-12-15 16:00

回答 2 已采纳 comom_header.html 可能因为你得这，引用那是php文件得啊
前端怎么通过php读写数据库 javascript jquery php
2021-10-17 11:43

回答 1 已采纳可以放在同一个文件夹比如说，用户点击删除按钮，用ajax，data里面定义一个type:del, php接收type，判断type为del，执行del函数，同理点击储存按钮，type:insert
运行php代码时页面总是显示parse error php 前端数据库
2022-12-13 22:00

回答 5 已采纳 Parse error: syntax error, unexpected end of file in E:WEB\HB\HB\mlogin.php on line 122 分析错误：语法错误，E:
PHP代码审计4—Sql注入漏洞
2022-07-18 09:07

W0ngk的博客 SQL注入代码审计入门
vscode运行php代码终端没有输出 php
2022-07-29 09:29

回答 1 已采纳你是不是没有配置php解释器
PHP莫名被注入一段指定js标签 javascript php web安全
2022-10-07 22:30

回答 1 已采纳服务器上还有别的病毒吧？装火绒之类带hips功能的软件，开启自定义防护，对php路径创建修改询问，再次修改时会触发火绒拦截，就能找到篡改病毒了。
关于前端H5 后端PHP的一些问题 html php 有问必答
2022-01-15 22:48

回答 1 已采纳你题目的解答代码如下： <script type="text/javascript"> function login(){
代码注入漏洞介绍和修复参考
2016-06-16 19:15

煜铭2011的博客代码注入 Shell注入我们先来看一段perl的代码： use CGI qw(:standard); $name = param('name'); $nslookup = "/path/to/nslookup"; print header; if (open($fh, "$nslookup $name|")) { while ()
PHP学生成绩查询(源代码+lw).zip
2023-09-01 11:38

我们还使用了依赖注入和面向接口编程等技术，以降低代码的耦合度和提高代码的可扩展性。总之，我们的通用性PHP开发项目源码采用了一系列先进的技术和框架，以提供高效、可扩展和可靠的Web应用程序。无论您是初学者...
PHP教材管理系统设计(源代码+lw).zip
2023-09-01 11:38

我们还使用了依赖注入和面向接口编程等技术，以降低代码的耦合度和提高代码的可扩展性。总之，我们的通用性PHP开发项目源码采用了一系列先进的技术和框架，以提供高效、可扩展和可靠的Web应用程序。无论您是初学者...
php+mysql学生成绩查询系统(源代码+lw).zip
2023-09-01 11:37

我们还使用了依赖注入和面向接口编程等技术，以降低代码的耦合度和提高代码的可扩展性。总之，我们的通用性PHP开发项目源码采用了一系列先进的技术和框架，以提供高效、可扩展和可靠的Web应用程序。无论您是初学者...
没有解决我的问题, 去提问

悬赏问题

¥15 有人能看一下我宿舍管理系统的报修功能该怎么改啊？链表那里总是越界
¥15 cs loadimage运行不了，easyx也下了，没有用
¥15 r包runway详细安装教程
¥15 Html中读取Json文件中数据并制作表格
¥15 谁有RH342练习环境
¥15 STM32F407 DMA中断问题
¥15 uniapp连接阿里云无法发布消息和订阅
¥25 麦当劳点餐系统代码纠错
¥15 轮班监督委员会问题。
¥20 关于变压器的具体案例分析

Php和代码注入

1条回答 默认 最新

悬赏问题

1条回答默认最新