當 PbootCMS 網站出現 SQL 注入時，攻擊者可能篡改或刪除數據庫中的關鍵信息，甚至獲取管理員權限。首先，應盡快確認所使用的 PbootCMS 版本是否存在已知注入漏洞，并立即升級到官方修復版本（如 V3.2.12），以關閉已公開的注入通道。若源碼中存在未修復的注入點，還需在程序層面對相關接口加入參數過濾/預編譯查詢等防護手段。同時，配合 WAF（Web 應用防火墻）或 CDN 級別的防護服務，可進一步攔截惡意 SQL 語句，減少后續攻擊風險。

1. 評估與漏洞確認

1.1 確認 PbootCMS 版本

1. 登錄 PbootCMS 后臺，在 系統信息 或 開發日志 頁面查看當前版本信息，以確定是否低于 3.2.12 版本。PbootCMS 3.2.3 及之前版本已知存在多處 SQL 注入風險，尤其是 apps/home/controller/IndexController.php 中的 tag 參數未過濾特殊字符，可能導致代碼注入（CNVD-2025-01710、CVE-2024-12789）。

2. 如當前版本為 3.0.4 或更早版本，則該版本已在 AVD-2021-28245 中被指存在搜索參數注入漏洞，攻擊者可通過構造惡意 search 參數添加管理員賬號并獲取敏感信息，應立即升級或補丁修復。

1.2 掃描并定位注入點

1. 使用自動化掃描工具（如 SQLMap、SDL 安全測試平臺等）對關鍵頁面（搜索、留言板、參數查詢接口）進行掃描，定位可利用的注入參數名和注入 payload。例如在 PbootCMS 1.3.2 版本中，ParserController.php 的 parserSearchLabel() 方法就曾出現參數名未過濾引發注入。

2. 針對定位到的可疑 URL，手工嘗試在 URL 后追加單引號、布爾型注入、報錯型注入等簡單 payload，確認是否有報錯或延遲現象，進一步驗證注入類型（盲注、報錯注入、聯合查詢注入等）。

3. 檢查數據庫日志或錯誤日志，確認是否有異常 SQL 執行痕跡，以及攻擊者可能執行的權限提升、數據篡改操作，以便后續恢復處理。

2. 漏洞修復與版本升級

2.1 升級到官方最新版

1. PbootCMS 官方自 2025 年 4 月 24 日發布 V3.2.12 版本，已修復了已知的 SQL 注入問題，建議立即將低版本升級至 V3.2.12 或更高版本，以關閉絕大多數已曝光通道。

2. 升級前務必備份完整的網站文件和數據庫，并在測試環境中完成升級驗證，確保自定義模板和插件在新版本下正常工作。若存在兼容性問題，應根據開發手冊調整模板標簽或插件代碼。

3. 如果官方尚未發布針對特定版本的修復補丁，可手動在有漏洞的控制器/模型文件中，對用戶輸入進行嚴格過濾。對所有涉及動態拼接 SQL 語句的地方，改為使用預編譯語句（PDO 或 mysqli prepare）并對輸入參數做白名單驗證。例如，禁止關鍵參數出現 <、>、’、; 等特殊字符，或對參數長度做限制。

2.2 源碼層面防護

1. 在核心控制器中，對 $_GET、$_POST 接收的關鍵參數進行類型檢查和白名單過濾，避免直接將參數拼接入 SQL 查詢。例如：

   // 不安全寫法
   $id = $_GET@['id'];
   $data = $db->query("SELECT * FROM article WHERE id = $id");
   // 推薦寫法（預編譯）
   $id = intval($_GET@['id']);
   $stmt = $db->prepare("SELECT * FROM article WHERE id = ?");
   $stmt->bind_param("i", $id);
   $stmt->execute();

2. 對搜索、篩選類接口特別注意：在 Home/IndexController.php 等文件中，曾有開發者直接將標簽拼接到 SQL，導致可被注入執行惡意代碼。請務必對所有動態拼接 SQL 的地方加以修補，并對查詢關鍵字段做嚴格轉義或預編譯處理。

3. 數據恢復與漏洞清理

3.1 立即備份當前數據庫

1. 在確認注入發生后，第一時間使用數據庫的導出功能（如 mysqldump）備份當前數據庫，包括全部表結構及數據，以免在清理過程中出現操作失誤導致二次損失。

2. 如果可能，保留數據庫的二進制日志（binlog），便于后續通過增量還原或對比日志分析攻擊者執行的 SQL 記錄。

3.2 恢復被篡改的數據

1. 對比備份：如果近期有正常備份（如每日或每周全量備份），可將當前數據庫與最近一次正常備份進行對比，將被注入篡改的表（如 user、admin、article 等）恢復至正常狀態。恢復時注意篩選出最近發生異常更改的記錄，并人工比對是否存在添加管理員賬號或刪除數據跡象。

2. 清除惡意注入記錄：根據掃描和日志分析結果，定位被插入的惡意字段或附加腳本，手動刪除或修正。例如，攻擊者可能在文章內容字段中植入惡意 UNION SELECT 或者在 admin 表中新增后門管理員賬號，需要一并清理。

3. 修改所有管理員密碼：即使注入當時未導致管理員密碼被竊取，也應主動為所有后臺帳號重置密碼，并啟用更強的密碼策略（長度不少于 12 位，包含大小寫字母、數字、特殊符號）。

4. 安全加固與防御部署

4.1 部署 WAF 或 CDN 級防護

1. 使用第三方 WAF（如“護衛神·防入侵系統”）可在應用層攔截大部分常規 SQL 注入、XSS?等攻擊。該系統內置 PbootCMS 專用防護規則，能夠識別并攔截惡意代碼入侵，在數據到達網站前先行阻斷攻擊流量。

2. 若已部署云 CDN（如七牛云、阿里云 CDN、騰訊云 CDN、華為云 CDN、百度云 CDN 等），可在 CDN 側開啟 Web 安全防護模塊，自動識別并攔截注入、惡意爬蟲、CC 攻擊等。不同廠商收費模式略有差異，建議根據流量規模選擇合適方案以控制成本。

3. 若預算有限，也可采用開源 WAF（如 ModSecurity、Nginx WAF 插件）或輕量級服務器端防火墻，結合常見注入規則手動進行配置，針對 POST / GET 參數的 UNION、SELECT、DROP、--?等關鍵字進行攔截。

4.2 強化代碼審計與權限管理

1. 定期對新增或修改的自定義插件、模板進行代碼審計，重點關注涉及數據庫操作的代碼段。任何出現 $db->query("...".$_GET@['xxx']."...") 直接拼接的地方都應立即修改為預編譯方式，并嚴格限制輸入類型和長度。

2. 后臺權限分級：啟用 PbootCMS 自帶的權限管理模塊，將不同操作分配給不同角色，避免所有管理員共享同一個超級管理員帳號。若有第三方開發者或運維人員協助維護，建議分配只讀或低權限帳號，僅在必要時授予更高權限。

3. 在服務器層面，關閉不必要的 PHP 函數（如 eval()、exec()、system()、passthru() 等）或對敏感函數設置 disable_functions，以減少腳本被注入后執行系統命令的可能性。

4.3 加強輸入驗證與輸出轉義

1. 在所有前臺輸入表單中，盡量使用內置的 pboot-form 模板標簽，并結合 PbootCMS 提供的安全過濾函數，對輸入內容去除 HTML 標簽、特殊符號等。對于富文本編輯器內容，設置白名單，只允許部分安全標簽（如 <p>、<b>、<i> 等），對屬性值做雙重轉義。

2. 在查詢數據庫后，對用戶可見的輸出字段使用 htmlspecialchars() 或 PbootCMS 內置的 {pboot:strip_html()} … {/pboot:strip_html} 等過濾標簽，避免 XSS?風險，降低注入造成跨站腳本的可能性。

3. 對文件上傳、圖片上傳等操作，需要校驗文件類型和大小，對上傳目錄進行隔離（建議放在非 Web 根目錄），并對文件名做隨機重命名，防止上傳惡意 PHP 腳本。

5. 后續監控與運維建議

5.1 日志監控與告警

1. 開啟 PbootCMS 的調試模式日志或在 config/log.php 中配置完整的 SQL 執行日志，便于在出現異常請求時及時排查。例如，可在 home、admin 控制器中對關鍵操作記錄 IP、參數、執行時間等。

2. 結合服務器的 fail2ban、OSSEC 等入侵檢測系統，對多次失敗登錄、反復嘗試注入 payload 的 IP 進行封禁，并配置郵件告警，一旦出現疑似注入嘗試，運維可第一時間介入。

3. 如果使用云服務器，可考慮部署阿里云或騰訊云的云監控、日志服務（如 CLS、CloudMonitor），將訪問日志、錯誤日志、WAF 日志等匯聚到統一平臺，利用規則引擎對關鍵事件報警。

5.2 定期更新與安全培訓

1. 設定定期升級機制，每月至少檢查一次 PbootCMS 官方更新日志，及時應用版本補丁，尤其關注高危修復記錄。官方在 2025-04-24 發布的 V3.2.12 便是針對 SQL 注入修復的重要版本。

2. 對開發/運維團隊進行安全意識培訓，包括常見 Web 漏洞（SQL 注入、XSS、CSRF、文件上傳等）的原理與防范措施，讓每位參與站點維護的人員都明確“禁止直接拼接 SQL 語句、務必使用預編譯和輸入過濾”的基本原則。

3. 若站點訪問量大或數據敏感度高，可聘請專業安全團隊定期進行滲透測試（Pentest）或漏洞掃描，發現潛在風險后及時修補，避免惡意攻擊者在未被察覺的情況下長期存在后門。

6. 常見 Q&A

6.1 已經升級到 V3.2.12 后，是否還會被注入？

若您的 PbootCMS 已成功升級至 V3.2.12，所有官方已知的注入點均已被修復，但仍存在因自定義插件或第三方代碼未審計而留下的隱患。因此，僅升級并不代表萬無一失，還需配合 WAF、防火墻以及嚴格的輸入過濾策略。

6.2 如果當前版本較舊，如何在不升級的情況下臨時防護？

1. 可先在服務器層面簡易地對常見 SQL 注入特征參數（如 UNION、SELECT、DROP、--）進行正則攔截，寫一段 Nginx 或 Apache 的自定義規則，但該方法普適性較差，容易誤傷正常請求，僅作為臨時權宜之計。

2. 使用輕量級 WAF（如 ModSecurity）并導入 OWASP Core Rules Set（CRS），可在一定程度上攔截常見注入模式。但要注意，若 Web 應用本身未修復注入漏洞，攻擊者仍可通過繞過規則的手段完成注入。

3. 在源碼中對高風險接口加上強制類型強轉或白名單過濾。例如接收 id、page 這類本應為整數的參數時，統一使用 intval($_GET@['id']) 或 preg_match('/^d+$/', $param) 做校驗，避免拼接時出現注入點。

6.3 如何判斷是否已被 SQL 注入？

1. 通過數據庫日志（若開啟了慢日志或通用查詢日志）查看近期是否存在異常的 UNION 查詢、報錯信息或大流量的單一 IP 請求。同時可借助 SHOW PROCESSLIST 命令，觀察是否有持續執行的長時間 SQL 查詢。

2. 檢查網站頁面是否出現異常內容：如前臺欄目頁、文章頁顯示了不應出現的額外數據（例如敏感字段、管理員賬號），或者頁面底部出現未預期的報錯信息（例如 MySQL 錯誤提示），都可能是注入后遺留的痕跡。

3. 借助安全掃描工具（例如 SQLMap）對站點進行盲注測試，若某些參數在添加單引號、雙引號后能觸發不同的響應內容或延遲，則說明可能存在盲注點。

參考文獻

1. CSDN: “PbootCMS SQL注入（CVE-2018-16356）” – 危害描述及修復建議

2. 博客園: “PbootCMS如何防SQL注入攻擊” – 源碼分析及 WAF 防護

3. PbootCMS 官方: “V3.2.12 開發日志 (已發布正式版)” – 修復 SQL 注入問題

4. 阿里云漏洞庫: “AVD-2021-28245” – PbootCMS 3.0.4 SQL 注入漏洞

5. 安全KER: “PbootCMS v1.3.2 命令執行和 SQL 注入漏洞” – 漏洞復現與修復

6. 博客園: “PbootCMS 最新代碼注入漏洞（CNVD-2025-01710、CVE-2024-12789）” – 漏洞描述與臨時防護

7. 白帽匯: “CVE-2018-11369” – PbootCMS 1.0.9 SQL 注入實戰