近日，360网站平安检测平台独家发现齐博CMS V7（原PHP168 v系列）建站系统存在SQL注入裂痕（0day），黑客可操作此裂痕入侵网站处事器，窃取网站数据甚至完全节制处事器。

近日，360网站平安检测平台独家发现齐博CMS V7（原PHP168 v系列）建站系统存在SQL注入裂痕（0day），黑客可操作此裂痕入侵网站处事器，窃取网站数据甚至完全节制处事器。对此，360已于第一侍旧双裂痕信息传递厂商，并群发告警邮件提醒旗下用户尽快下载最新补丁，360网站卫士也同时更新了防护轨则。

360网站平安检测平台处事网址：http://webscan.360.cn

齐博CMS建站系统是使用PHP说话开发的建站系统，因开源和可二次开放等特点为良多站长青睐。今朝，齐博建站系统分为整站系统、B2B电子商务系统以及分类信息系统等多个版本。360此次发现的SQL注入裂痕存在于最新的齐博CMS V7整站系统中，所有使用此版本系统的网站都面临可能致命的平安风险。

据360平安工程师剖析，此次呈现的SQL注入裂痕存在于/do/s_rpc.php文件中的$queryString变量中。黑客可利$queryString变量直接经由过程外部post传入，并用Chinese类进行GB2312转换带入SQL语句，最终导致可绕过magic_quotes_gpc =On的限制闭合单引号，发生SQL注入裂痕。

图1：黑客可经由过程$queryString变量实施SQL注入

经由对齐博CMS V7官方DEMO站点进行测试发现，抨击袭击者可经由过程机关SQL语句发芽网站的MySQL数据库版本，进行有针对性的抨击袭击，最终“拖库”窃取网站数据，或植入后门节制处事器。

图2：CMS V7官方的DEMO站点测试结不美观

图3：机关SQL语句发芽网站的MySQL数据库版本

因为该裂痕影响普遍，360网站平安工程师强烈建议用户当即打补丁，或按照360供给的解决方案手动修复章矣眠危裂痕，防止SQL注入抨击袭击。同时举荐用户使用360网站卫士，呵护网站免遭各类收集抨击袭击。

齐博官方修复补丁下载地址：http://bbs.qibosoft.com/read-forum-tid-411258.htm

360供给的手动解决方案：

打开/do/s_rpc.php 文件，查找如下代码：

if（strlen（$queryString） 》0）

在膳缦沔插手如下一行代码：

$queryString = addslashes（$queryString）;

注：相关网站培植技巧阅读请移步到建站教程频道。