fix: 修复 function.php 中的 SQL 注入漏洞 #64

naixiao · 2025-11-20T13:47:09Z

验证结果：

- 在 if_login() 函数中使用预处理语句替换危险的字符串拼接 - 将模糊匹配（LIKE）改为精确匹配（=）提高安全性 - 修复身份验证绕过漏洞，防止 SQL 注入攻击验证结果： - 使用 SQLMap 测试确认注入漏洞已修复 - 用户查询功能正常工作

- 在 login() 函数中使用预处理语句替换危险的字符串拼接 - 使用参数化查询防止用户输入直接拼接到 SQL 语句中 - 修复身份验证绕过漏洞，防止 SQL 注入攻击验证结果： - 使用 SQLMap 测试确认注入漏洞已修复 - 用户登录功能正常工作 - 密码验证和会话设置逻辑保持正常"

naixiao added 2 commits November 20, 2025 21:43

Provide feedback