前文提及的注入漏洞二必须获知$cfg_cookie_encode 变量，这里我们完全可以提交变量
$cfg_cookie_encode 为空，满足条件，受影响页面有 memmber 目录中的 reg_new.php、
edit_fullinfo.php 等页面。详细利用略。
利用四：全局变量上传木马。会员上传页面为 member 目录中的 uploads_add.php、
uploads_edit.php      等   ，   上   传   函   数    MemberUploads      定   义   在
include/helpers/upload.helper.php 文件，分析代码如下：
 
function MemberUploads($upname,$handname,$userid=0,$utype='image',$exname='',$maxwid th=0,$maxheight=0,$water=false,$isadmin=false)
{  ...(略)
$allAllowType             =            str_replace('||',              '|',
$cfg_imgtype.'|'.$cfg_mediatype.'|'.$cfg_mb_addontype);
//①提交全局变量$cfg_imgtype、$cfg_mediatype、$cfg_mb_addontype，自定义允许
上传的文件类型
if(!empty($GLOBALS[$upname]) && is_uploaded_file($GLOBALS[$upname]))
{
$nowtme = time();
$GLOBALS[$upname.'_name']                                          = trim(preg_replace("#[ \r\n\t\*\%\\\/\?><\|\":]{1,}#",'',$GLOBALS[$upname.'_ name']));
//②过滤上传文件名中的空格等符号
if($utype=='image') //③分别检查 image、flash、media 等文件类型
{ ...(略) }
//再次严格检测文件扩展名是否符合系统定义的类型
$fs = explode('.', $GLOBALS[$upname.'_name']);
$sname = $fs[count($fs)-1]; //上传文件的扩展名
$alltypes = explode('|', $allAllowType);
if(!in_array(strtolower($sname), $alltypes))       //④$alltypes 含扩展名小
写
{
ShowMsg('你所上传的文件类型不被允许！',  '-1');
exit();
}
//强制禁止的文件类型
Php

if(preg_match("/(asp|php|pl|cgi|shtm|js)$/", $sname)) //⑤大写绕过，如：
 
{
ShowMsg('你上传的文件为系统禁止的类型！', '-1');
exit();