1月6日，国内知名漏洞报告平台乌云（wooyun.org），发布一则Phpcms曝注入漏洞的消息。


    网站程序在编写时，没有对用户输入的合法性进行判断或者程序中本身的变量处理不当，就产生了SQL注入漏洞，SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，SQL注入漏洞危害极大，可利用此漏洞直接绕过相关密码验证机制，盗取管理员帐号密码、用户信息等等。

    Phpcms是一款开源CMS系统采用PHP5+MYSQL做为技术基础进行开发。全球有10万以上的网站在使用此CMS，使用此CMS的人群有政府机构、教育机构、事业单位、商业企业、个人站长等。此漏洞一旦被一些非法人员获得并利用，可能会对几百万甚至更多的网民产生潜在威胁。

    加速乐提醒各位站长注意防护，开启加速乐的防入侵/防采集功能，能够有效防止相关漏洞的侵害，截至发稿时，官方暂未推出相应的漏洞补丁。