更新内容:

修复了登录程序的注入漏洞。

安全级别
高

涉及版本
AKCMS2.4及之后版本（仅2.2、2.3两版不受影响）

修补方法:

最简单的方法是把akcms目录改得复杂一些并且不要暴露出去，这个漏洞就没有危害。不过为了保险起见，最好也按照下面的方法打上补丁。

如果您使用的是2.7、3.0.2请下载您对应版本的最新版本（下载中心），解压缩后用login.php这个文件覆盖原文件即可。如果是其他版本请升级到最新的2.7或3.0.2，如果您不想升级也可以手动修复：

找到login.php并打开，找到这样一句：

if($editor = $db->get_by('*', 'admins', "editor='$post_username'")) {

改为：

if($editor = $db->get_by('*', 'admins', "editor='".addslashes($post_username)."'")) {

起因：2.4以前版本的字符串转义是在common.inc.php函数中统一做的。从2.4开始，字符串转义改为在db类中，在update和insert操作时做，query则在逻辑中自己做。这个转变导致遗漏了登录时的这个转义，造成严重的安全问题。

在此向各位用户表示歉意，我将投入更多的精力在代码安全上，给大家提供安全稳定的产品。另外，非常感谢网友：长老的反馈，谢谢。