phpweb 注射+上传+安装文件漏洞+万能密码（含修复方案）

1.漏洞：
非法地址，获取shell，影响目录：news、down、photo
http://www.phpweb.net/down/class/index.php?myord=1{sqlinjection}.
解决：修改各个模块中\module下的*Query.php，将if($myord=="")修改成if($myord!="" or $myord!="uptime" or $myord!="cl");
2.漏洞：
安装目录漏洞
解决：系统安装完毕后，将base下的install删除
3.漏洞:
万能密码
www.***.com /admin.php
用户名和密码: admin 'or '1'='1 或者1' or 1=1 or '1'='1

另：取消首页的短横线‘-’
在网站根目录找到base/templates/header.htm
用记事本或者其他编辑工具打开 header.htm
找到如下代码：

这就是网站的title，即网站标题
去掉{#pagetitle#}和{#sitename#}中间的‘-’
这样就可以了