vBulletin SQL注入漏洞

chlintin

2014-07-18

发布日期：2014-07-16
更新日期：2014-07-18

受影响系统：
VBulletin VBulletin 5.1.2
VBulletin VBulletin 5.1.1
VBulletin VBulletin 5.1.0
VBulletin VBulletin 5.0.5
VBulletin VBulletin 5.0.4
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 68709

VBulletin是一个强大灵活并可完全根据自己的需要定制的论坛程序套件。

vBulletin 5.0.4, 5.0.5, 5.1.0, 5.1.1, 5.1.2版本没有有效过滤用户输入，在实现上存在SQL注入漏洞，成功利用后可使攻击者执行未授权数据库操作。

<*来源：vendor
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

VBulletin
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.vbulletin.com/

chlintin

0 关注 0 粉丝 0 动态

相关推荐

如何将一个按天统计的sql批量查询？

这是一种做法，但这种做法很耗费时间，比如我要查询一年按天的统计就会循环执行365次，很耗费时间，于是我就在想，怎样能够批量传参然后批量返回结果。　　比如SELECT #{currentDate} dateTime FROM A WHEREbegin_tim

xuanlvhaoshao 2020-05-07

解析SQL Server中SQL日期转换出错的原因

开发人员有时候使用类似下面SQL将字符串转换为日期时间类型，乍一看，这样的SQL的写法是没有什么问题的。但是这样的SQL其实有时候就是一个定时炸弹，随时可能出现问题（），下面简单对这种情况进行一个简单概括。如果你将连接数据库的登录名的默认语言修改为Arib

militala 2020-01-13

SQL Server 日期和时间的内部存储过程

在SQL Server的内部存储中，日期和时间不是以字符串的形式存储的，而是使用整数来存储的。使用特定的格式来区分日期部分和时间部分的偏移量，并通过基准日期和基准时间来还原真实的数据。SQL Server存储引擎把DateTime类型存储为2个int32类

cjylean 2019-12-04

MS SQL获取最大值或最小值日期的函数

开发ERP时，会使用到下面两个获取最大值或最小值日期的函数。

tanrong 2020-01-17

sql server日期时间函数

DATEDIFF DATEDIFF 返回两个指定日期之间所跨的日期或时间 datepart 边界数。time hh:mm:ss[.nnnnnnn] 00:00:00.0000000 到 23:59:59.9999999 100 纳秒 3 到 5 是否

tanrong 2020-01-14

sql server to oracle

sql语句从SqlServer转换Oracle时，需注意的地方日期：0.获取系统时间getdate()改为sysdate1.日期转换字符串to_char(sysdate,‘yyyy-mm-dd‘)2.日期截取年月日trunc(sysdate)3.字符串转日

Carlos 2020-01-08

hive sql的常用日期处理函数总结

select date_format; --日期字符串必须满足yyyy-MM-dd格式。select next_date; --得到2020-01-01往后的第一个周五。6）unix_timestamp 5,6在一起用，常用来把非yyyy-MM-dd的

明月清风精进不止 2020-01-01

SQL——SQL日期

SQL日期 MySQL： NOW()返回当前的日期和时间 CURDATE()返回当前的日期 CURTIME()返回当前的时间 DATE()提取日期或日期/时间表达式的日期部分 EXTRACT()返回日期/时间按的单独部分 DATE_ADD()给日期添加指定

tanrong 2019-12-13

sql日期时间格式转换

Select CONVERT(varchar(100), GETDATE(), 1): 05/16/06. Select CONVERT(varchar(100), GETDATE(), 2): 06.05.16. Select CONVERT(varch

明月清风精进不止 2019-10-23

sql server编写通用脚本实现获取一年前日期的方法

　　在数据库编程开发中，有时需要获取一年前的日期，以便以此为时间的分界点，查询其前后对应的数据量。　　以上这四种情况的具体查询场景，有archive数据脚本开发之前对数据库数据量的分布情况进行统计等，也有根据当前日期动态计算一年来的增量增幅情况等。而且重新

zhangdonghang 2019-07-18

sql 日期和字符相互转换方法（MySQL和Oracle中）

date_format -------------->oracle中的to_char();str_to_date -------------->oracle中的to_date();%Y：代表4位的年份%y：代表2为的年份%m：代表月, 格式为(

chenxcd 2019-09-06

sql server中的时间函数

3.datediff返回跨两个指定日期的日期和时间边界数。

婷婷小屋 2012-09-28

内部业务控制

前台没多复杂，复杂的反而是业务，业务怎么复杂，一般落到具体的SQL，SQL语法不难，难的原因还是业务。刚才看了下账期表，里面几个字段，quo_info_id，这个是报价单表，可直接到附件来连接，另一个是产品方案表，这还是两级；在当前的存储中，这个新的月份

sylalak 2014-08-30

oracle 学习笔记（简单1）

总结oracle常用的语句：。SQL>selectnext_dayfromdual;下一个星期一的日期。SQL>selectto_charfromdual;根据本地语言环境进行显示，如果是中文，则显示￥。SQL>selectto_numb

FightFourEggs 2010-08-14

使用原生sql查询数据，日期的格式问题

使用原生sql查询数据，日期的格式问题。hibernate转换日期格式采用。同样的，将查询出来的日期以Timestamp来进行处理。最终在页面上直接显示或是导出均是2013-02-0215:53:38.0样式的格式，达到想要的效果

廖金龙 2013-03-20

判断是否是正确日期字符串的函数

返回值:类型为date,如果字符串不符合转换格式的要求或是非法的日期字符串,返回值为null,反之,返回转换后的date值

wangcomputer00 2012-07-06

SQL中常用日期函数

--1 GETDATE() 返回当前系统日期。--2 DATEADD 返回将日期的指定日期部分加常数后的结果返回。SELECT DATENAME+DATENAME --QQ 是QUATRER代表季度

windex000 2018-10-15

SQL Date 函数

当我们处理日期时，最难的任务恐怕是确保所插入的日期的格式，与数据库中日期列的格式相匹配。只要您的数据包含的只是日期部分，运行查询就不会出问题。在讨论日期查询的复杂性之前，我们先来看看最重要的内建日期处理函数。

libingjy 2016-10-05

在PL/SQL中使用日期类型

之前的文章介绍了在PL/SQL中使用字符串和数字了下。毫无疑问，字符串和数字很重要，但是可以确定的是没有哪个应用不依赖于日期的。你需要记录事件的发生事件，人们的出生日期等等很多。庆幸的是，Oracle数据库和PL/SQL提供了一系列日期和时间类型以标准形式

MikeG 2015-07-26

系统日期设置不正确导致的ORA-01839错误

早上收到开发人员发来的邮件，说在一个测试环境中SQL执行报错，但相同的SQL在另一个测试环境中却执行经常，叫我帮忙分析一下原因。接着连接上说执行正常的库，执行SQL，果然Oracle很友好的返回了结果。按照对错误的第一反应，先去比对两边的数据是否一样。马上

bonkerssdn 2015-05-13

chlintin

W3CSchool教程: HTML 教程; CSS 教程; Bootstrap 教程; Javascript 教程; jQuery 教程

后端教程: C 教程; Java 教程; PHP 教程; Python 教程; Go 教程

移动开发: Android 教程; Swift 教程; Kotlin 教程; jQuery Mobile 教程; ionic 教程

关于我们: 新闻动态; 联系方式; 招聘英才; 安科实验室; 帮助与反馈

安科网(Ancii)，中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号京公网安备11010802014868号