PHPnow-1.5.6| Servkit 默认页 index.php 防恶意MySQL连接请求漏洞补丁源码修改方法

璁哄潧 · 发表于 2019-1-31 10:56:54

查找以下代码:

<form method="post" action="<?=_SERVER('PHP_SELF')?>">
<table width="100%" class="info">
<tr>
<th colspan="4">MySQL 连接测试</th>
</tr>
<tr>
<td>MySQL 服务器</td>
<td><input type="text" name="mysqlHost" value="localhost" /></td>
<td>MySQL 数据库名</td>
<td><input type="text" name="mysqlDb" value="test" /></td>
</tr>
<tr>
<td>MySQL 用户名</td>
<td><input type="text" name="mysqlUser" value="root" /></td>
<td>MySQL 用户密码</td>
<td><input type="text" name="mysqlPassword" /></td>
</tr>
<tr>
<td colspan="4" align="right"><input type="submit" value="连接" name="act" /> &</td>
</tr>
</table>
</form>
<?php if(isset($_POST['act'])) {?>
<br />
<table width="100%" class="info">
<tr>
<th colspan="4">MySQL 测试结果</th>
</tr>
<?php
$link = @mysql_connect($_POST['mysqlHost'], $_POST['mysqlUser'], $_POST['mysqlPassword']);
$errno = mysql_errno();
if ($link) $str1 = '<span style="color: #008000; font-weight: bold;">OK</span> ('.mysql_get_server_info($link).')';
else $str1 = '<span style="color: #ff0000; font-weight: bold;">Failed</span><br />'.mysql_error();
?>
<tr>
<td colspan="2">服务器 <?=$_POST['mysqlHost']?></td>
<td colspan="2"><?=$str1?></td>
</tr>
<tr>
<td colspan="2">数据库 <?=$_POST['mysqlDb']?></td>
<td colspan="2"><?=(@mysql_select_db($_POST['mysqlDb'],$link))?'<span style="color: #008000; font-weight: bold;">OK</span>':'<span style="color: #ff0000; font-weight: bold;">Failed</span>'?></td>
</tr>
</table>
<?}?>

复制代码

修改为以下代码:

<form method="post" action="<?=_SERVER('PHP_SELF')?>">
<?php
function isLockMySQL(){
return @file_get_contents("MySQLConnectError.lock") >= 30 ? 1 : 0;
}
function AddMySQLError(){
file_put_contents("MySQLConnectError.lock",abs(@file_get_contents("MySQLConnectError.lock"))+1);
return "";
}
if(isLockMySQL()){ ?>
<table width="100%" class="info">
<tr>
<th>MySQL 连接测试</th>
</tr>
<tr>
<td><center>MySQL连接失败次数过多，已被PHPnow拒绝，请删除根目录MySQLConnectError.lock 文件</center></td>
</tr>
</table>
</form>
<?php } else { ?>
<table width="100%" class="info">
<tr>
<th colspan="4">MySQL 连接测试</th>
</tr>
<tr>
<td>MySQL 服务器</td>
<td><input type="text" name="mysqlHost" value="localhost" /></td>
<td>MySQL 数据库名</td>
<td><input type="text" name="mysqlDb" value="test" /></td>
</tr>
<tr>
<td>MySQL 用户名</td>
<td><input type="text" name="mysqlUser" value="root" /></td>
<td>MySQL 用户密码</td>
<td><input type="text" name="mysqlPassword" /></td>
</tr>
<tr>
<td colspan="4" align="right"><input type="submit" value="连接" name="act" /> &</td>
</tr>
</table>
</form>
<?php if(isset($_POST['act'])) {?>
<br />
<table width="100%" class="info">
<tr>
<th colspan="4">MySQL 测试结果</th>
</tr>
<?php
$link = @mysql_connect($_POST['mysqlHost'], $_POST['mysqlUser'], $_POST['mysqlPassword']);
$errno = mysql_errno();
if ($link) $str1 = '<span style="color: #008000; font-weight: bold;">OK</span> ('.mysql_get_server_info($link).')';
else $str1 = '<span style="color: #ff0000; font-weight: bold;">Failed</span><br />'.mysql_error().AddMySQLError();
?>
<tr>
<td colspan="2">服务器 <?=$_POST['mysqlHost']?></td>
<td colspan="2"><?=$str1?></td>
</tr>
<tr>
<td colspan="2">数据库 <?=$_POST['mysqlDb']?></td>
<td colspan="2"><?=(@mysql_select_db($_POST['mysqlDb'],$link))?'<span style="color: #008000; font-weight: bold;">OK</span>':'<span style="color: #ff0000; font-weight: bold;">Failed</span>'?></td>
</tr>
</table>
<?}}?>

复制代码

修改以后，MySQL登录失败超30次将被拒绝连接，必须删除指定lock文件后解除。

1心1亿 · 发表于 2019-1-31 16:38:11

昨天说要删今天出了个补丁

222 · 发表于 2019-1-31 17:24:34

666666666

这个名字想了很9 · 发表于 2019-2-4 00:19:59

这名字和经营范围完全文不对题

520 · 发表于 2019-2-6 12:39:32

这个名字想了很9 发表于 2019-2-4 00:19
这名字和经营范围完全文不对题

现在改了

笔芯 · 发表于 2019-4-11 23:38:19

520 发表于 2019-2-6 12:39
现在改了

改的什么鬼名字

帐号		自动登录	找回密码
密码			注册已关闭

[PHP/ASP/JSP] PHPnow-1.5.6| Servkit 默认页 index.php 防恶意MySQL连接请求漏洞补丁源码修改方法

相关帖子