Lxblog 是 PHPWind 开发的一套基于 PHP+MySQL 数据库平台架构的多用户博客系统，强调整站与用户个体间的交互，拥有强大的个人主页系统、独立的二级域名体系、灵活的用户模板系统、丰富的朋友圈和相册功 能。但是该blog系统在安全性上并不让人满意，本文就来分析lxblog一个变量未初始化造成的sql注入漏洞。 
我们先来分析一下这个漏洞，看代码： 
=======================code================================== 
/user/tag.php 
<?php 
!function_exists('usermsg') && exit('Forbidden'); 
!in_array($type,$item_type) && exit; 
//$type、$item_type均没有初始化 
require_once(R_P.'mod/charset_mod.php'); 
foreach ($_POST as $key => $value) { 
${'utf8_'.$key} = $value; 
${$key} = $db_charset != 'utf-8' ? convert_charset('utf-8',$db_charset,$value) : $value; 
} 
if ($job == 'add') { 
……//省略部分代码 
}elseif($job=="modify"){ 
$tagnum="{$type}num"; 
$touchtagdb=$db->get_one("SELECT k.tags,i.uid FROM pw_{$type} k LEFT JOIN pw_items i ON i.itemid=k.itemid WHERE k.itemid='$itemid'"); 
//$type带入查询语句操作数据库 
$touchtagdb['uid']!=$admin_uid && exit; 
……//省略部分代码 
=======================code================================== 
当 然，在文件的第一行有 !function_exists('usermsg') && exit('Forbidden'); 这样一段代码的限制，我们不能直接访问该文件，但是可以通过user_index.php来include这个文件执行，看具体代码 
=======================code================================== 
//user_index.php 
<?php 
……//省略部分代码 
require_once(R_P.'user/global.php'); 
require_once(R_P.'user/top.php'); 
if (!$action) { 
……//省略部分代码 
} elseif ($action && file_exists(R_P."user/$action.php")) { 
$basename = "$user_file?action=$action"; 
require_once(Pcv(R_P."user/$action.php")); 
//通过提交$action=tag即可以调用到存在漏洞的文件