摘要： dedecms的/plus/advancedsearch.php中，直接从$_SESSION[$sqlhash]获取值作为$query带入SQL查询，这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话。 危害： 1.黑客可以通过此漏洞来重定义数据库连接。 阅读全文

摘要： dedecms的/plus/advancedsearch.php中，直接从$_SESSION[$sqlhash]获取值作为$query带入SQL查询，这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话。 危害： 1.黑客可以通过此漏洞来重定义数据库连接。 阅读全文