ثغرة SQL Injection - vbulletin 3.7.0 مع الترقيع

[عنقاء فلسطين]

السلام عليكم ورحمة الله وبركاته

هناك من أصحاب المواقع من لايرغب بتغيير ملف faq.php إلى محتوى ملف index.php لهذا تم عمل طريقة الترقيع

قبل تطبيق التعديل أعلاه قم بفتح رابط موقعك إن رأيت مشكلة Database Error فقم بتطبيق الترقيع
http://www.yoursite.com/vb/faq.php?s=&do=search&q='& match=any&titlesonly=1

افتح ملف faq.php وابحث عن:

كود PHP:

switch($vbulletin->GPC['match']) 


أضف قبله :

كود PHP:

$vbulletin->GPC['q'] = $db->escape_string($vbulletin->GPC['q']); 


وبعد تطبيق التعديل أعلاه قم بفتح رابط موقعك مرة أخرى إن لم تر Database Error فقد تم ترقيع الثغرة بنجاح والحمدلله
http://www.yoursite.com/vb/faq.php?s=&do=search&q='& match=any&titlesonly=1


شكراً للجميع

[وافي الإحساس]

هذا حل اخر من ابو راشد


http://www.mwadah.com/post319131-2


شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية .

[الووولهان]

شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية .

[مكتشف]

شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية