通过Reflector5反编译,查看代码 我们先看源码目录下 DTcms.Web =>aspx =>feedback.aspx
这页面 ,主要代码如下
然后我们看下GetFormString函数是怎么处理输入的数据
在跟进看下 IsSafeSqlString函数
可以看出 没对用户输入进行xss检测,所以用户提交的数据直接插入到数据库
我们在看下 读出留言反馈数据的代码 在源码目录下的 DTcms.Web=>pluginsfeedback=>admin=>index.aspx 页面 主要代码如下
在看下PptBind函数
其中getlist就是直接select出留言反馈的信息,然后通过控件databine绑定数据源 并没有对读出来的数据进行处理