广告

这几天玩了下XO引擎觉得挺好的，微端简单易部署，还可以放COS OSS这些对象存储。

正打算架一个放群里跟朋友玩，发现都在说这个引擎有删库漏洞，客户端怎么注入还没研究，获取列表的PHP文件看了一下是真的有问题。

简单修复了一下，也测试了不影响正常游戏登录，还可以限制哪个平台不能登录，并加了收到注入代码就记录日志好方便分析，里面关键点都有注释。自己也测试了一下sql常用注入代码，是没有用了的。当然不排除别的大佬有更狠的办法 [s-11]，水平有限，欢迎大佬指正

也打算写个M2插件来过滤客户端的注入，还没找到相关说明，有大佬提供一下的吗

复制两个代码到对应文件就好了，下面就卖点小钱 刚来太穷，穷到看到博主发了这个，我就是买不动，哈哈，所以自己来修复了