Xiuno BBS开源程序交流论坛
积分插件V2.56·风信子修复版
geruixi
发布于 9小时前
tt_credits
版本 2.56
兔兔
2025-09-14
2025-09-15
10000000
详细说明
1. 转账功能负数漏洞
原问题:可能通过负数绕过转账限制
修复:严格的数值验证、类型转换和绝对值处理
安全措施:防重复提交、金额范围限制
2. 兑换功能数值验证缺陷
原问题:preg_replace处理不当,可能导致数值异常
修复:完整的数值验证流程和范围限制
安全措施:防止负数兑换、余额异常检查
3. 管理员设置SQL注入风险
原问题:直接拼接SQL语句存在注入风险
修复:参数化查询和严格的数值验证
安全措施:输入范围限制、类型强制转换
4. 付费内容参数验证不足
原问题:缺乏对内容价格和类型的验证
修复:完整的参数验证和边界检查
安全措施:价格范围限制、积分类型验证
5. 购买流程安全漏洞
原问题:缺乏防重复购买机制
修复:增加重复购买检查和余额验证
安全措施:事务一致性保证。
默认人-民-币字段的单位为分,已改为支持后台自定义设置比例。
原问题:可能通过负数绕过转账限制
修复:严格的数值验证、类型转换和绝对值处理
安全措施:防重复提交、金额范围限制
2. 兑换功能数值验证缺陷
原问题:preg_replace处理不当,可能导致数值异常
修复:完整的数值验证流程和范围限制
安全措施:防止负数兑换、余额异常检查
3. 管理员设置SQL注入风险
原问题:直接拼接SQL语句存在注入风险
修复:参数化查询和严格的数值验证
安全措施:输入范围限制、类型强制转换
4. 付费内容参数验证不足
原问题:缺乏对内容价格和类型的验证
修复:完整的参数验证和边界检查
安全措施:价格范围限制、积分类型验证
5. 购买流程安全漏洞
原问题:缺乏防重复购买机制
修复:增加重复购买检查和余额验证
安全措施:事务一致性保证。
默认人-民-币字段的单位为分,已改为支持后台自定义设置比例。
兔兔积分 VIP插件测试地址
http://t.yanpao.cn/
发布更新地址“https://yanpao.cn/thread-70.htm”
VIP插件购买VIP时加RMB的BUG已修复。
相关帖子
最新回复 (0)
全部楼主
