不灭的焱

革命尚未成功,同志仍须努力下载JDK17

作者:Albert.Wen  添加时间:2018-09-10 22:56:56  修改时间:2024-03-28 21:50:06  分类:编程基础/Web安全  编辑

找到文件 /api/uc.php

修改1:

function updateapps($get, $post) { ... }

修改为:

function updateapps($get, $post) { 
    if ($post['UC_API']) {
        $post['UC_API'] = addslashes($post['UC_API']);
    }

    // ......
} 

 

修改2:

$configfile = substr($configfile, -2) == '?>' ? substr($configfile, 0, -2) : $configfile;

大概216行,替换成以下:

$configfile = preg_replace("/define\('UC_API',\s*'.*?'\);/i", "define('UC_API', '".addslashes($UC_API)."');", $configfile);

更新代码后,在阿里云后台这条漏洞后面点“验证一下”,即可看到这条漏洞补上就没有了。