WooYun.org

public function index()    //用户会员中心-音乐-我分享的-中文舞曲
	{
                $data='';
//下面几句使用了xss_clean，并不会过滤SQL注射字符，尤其是单引号
                $yid = $this->security->xss_clean($this->input->get('yid', TRUE));   //yid，1为分享，2为待审核，3为回收站
                $cid = $this->security->xss_clean($this->input->get('cid', TRUE));   //cid
                $page = $this->security->xss_clean($this->input->get('page', TRUE));   //page
  …………………………………略去若干行………………………………
		if(!empty($page_arr) && !empty($page_arr[2])){
//下面语句没有问题
                        $sqlstr="select * from ".CS_SqlPrefix."dance where CS_User='".$this->session->userdata('cs_name')."'";   //这句还没有问题
                        if($yid==3){                  //直接比较，很安全
                             $sqlstr.=" and cs_hid=1";//安全
                        }else{
                             $sqlstr.=" and cs_hid=0";//安全
                        }
                        if($yid==1 || $yid==2){       //安全
                            $yid=$yid-1;              //安全
                            $sqlstr.=" and cs_yid='$yid'"; //安全
                        }
                        if($cid){                     //cid直接XSS-clean拿来的
                            $sqlstr.=" and cs_cid='$cid'"; 
                        //用单引号包住是没有用的，因为你没有intval，用的是xss-clean，所以是一个字符型注射
                        }
                        ……………………以下省略…………………………

http://demo.chshcms.com/index.php/user/music?cid=1'