Fix bug SQLI Mod vB4 Gift Music
Share với anh em Admin đang làm 4rum VBB 1 lỗi của Mod Gift Music và cách fix
---------------------------------------
Bug này đã có exploit và bị khai thác triệt để nhưng vẫn chưa có ai đưa ra bản vá cho nó, hôm nay rảnh được chút thời gian nên mình làm cái tut cho oai chứ thật ra là đọc code và fix lỗi cho nó thôi kakaka.
cách fix bug này:
vào: Admincp -> Plugin & product option -> Plugin manage -> [HQTH]Music Gift -> [HQTH]Music Gift có hook misc_start -> edit (sửa) -> tìm dòng code dưới:
Thay thế bằng dòng:
Mod này mình thấy có nhiều bản được tùy biến lại nhưng vẫn dính lỗi và cách fix tương tự chỉ việc để ý chút xíu chỗ câu query và fix cho đúng cái Prefix của nó là được.
vd:
thì thay bằng:
(ST)
---------------------------------------
Bug này đã có exploit và bị khai thác triệt để nhưng vẫn chưa có ai đưa ra bản vá cho nó, hôm nay rảnh được chút thời gian nên mình làm cái tut cho oai chứ thật ra là đọc code và fix lỗi cho nó thôi kakaka.
cách fix bug này:
vào: Admincp -> Plugin & product option -> Plugin manage -> [HQTH]Music Gift -> [HQTH]Music Gift có hook misc_start -> edit (sửa) -> tìm dòng code dưới:
Mã:
if($_GET[id]) $m = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX
."hqth_music WHERE id = $_GET[id] AND pulish = 1");
Thay thế bằng dòng:
Mã:
if($_GET[id]) $m = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX
."hqth_music WHERE id = . stripslashes($_GET[id]) . AND pulish = 1");
/*fixed by ccb*/
Mod này mình thấy có nhiều bản được tùy biến lại nhưng vẫn dính lỗi và cách fix tương tự chỉ việc để ý chút xíu chỗ câu query và fix cho đúng cái Prefix của nó là được.
vd:
Mã:
("SELECT * FROM ". TABLE_PREFIX ."[B][COLOR=red]hqth_music[/COLOR][/B] WHERE id = $_GET[id] AND pulish = 1");
Mã:
("SELECT * FROM ". TABLE_PREFIX ."[B][COLOR=red]hqth_music[/COLOR][/B] WHERE id = . stripslashes($_GET[id]) . AND pulish = 1");
(ST)