wap_user.php:
一下越权都是没有uid的参与,导致任意修改数据库任何记录
第一处:
第二处:
第三处:
第四处:
这一出 存在sql简单注入$sql="update ".table("resume")." set specialty='$specialty' where id=$id";
第五处:
第六处:
第七处:
存在简单sql注入$sql="update ".table("resume")." set title='$title' where id=$_POST[resume_id]";