經(jīng)過我對代碼的對比,得出結(jié)論

1、新版與舊版的對比，發(fā)現(xiàn)增加了數(shù)據(jù)的安全性過慮
2、LOGO名稱與LOGO地址的安全性處理。

問題就出在這里，官方升級的時(shí)候用了一個(gè)叫new_addslashes()函數(shù)進(jìn)行數(shù)據(jù)過濾，這個(gè)函數(shù)本身沒有問題。但是，由于過濾之后另外一行代碼出了問題。如下：

更新后的代碼: $data = new_addslashes($_POST);

修復(fù)后的代碼: $data = new_addslashes($_POST['link']);
即，只要把phpcms\modules\link\link.php腳本文件里面找到 $data = new_addslashes($_POST);這行代碼，然后把參數(shù)里面的$_POST更改為$_POST['link']即可。

因?yàn)閚ew_addslashes對整個(gè)$_POST數(shù)據(jù)操作,會(huì)涉及到其它的數(shù)據(jù).而此次安全過濾只針對$_POST中的link.

不會(huì)的朋友可以去phpcms官方重新下載20120907的補(bǔ)丁.覆蓋服務(wù)器上的文件就OK了.

Post:
new_addslashes()函數(shù)不是用來對數(shù)據(jù)安全過濾的,剛好相反,是還原過濾過的數(shù)據(jù).
safe_replace()和addslashes()才是用來數(shù)據(jù)安全過濾的