最近折腾开源 CRM，需要找个 portal，就买了这个： https://store.suitecrm.com/addons/customer-support-portal-for-suitecrm

一装上之后用 git 检查新增了哪些文件，结果发现：

in the "in.php" file:  $item_ab = $_POST["ab"]; $sq1w = "select (contacts.id)as idd,(contacts.first_name)as fa,(contacts.last_name) as la  from contacts_cases,contacts,cases where contacts.id=contact_id and cases.id=case_id and cases.id='".$item_ab ."'";  

类似的 sql 注入到处都是

大佬有話說 (0)