23年发现的已知漏洞介绍：

1.格盘(服务器或电脑硬盘)

2.删库删表(cq_user_new)

3.打乱数据(cq_item,cq_user_new,cq_eudemon,cq_task) 打乱账号,打乱幻兽,打乱角色和物品

4.雷鸣玩家加魔石

5.物品复制(任意物品,包括阿拉玛)

6.服务器关机电脑关机

7.刷魔石

8.宝宝刷星

9.刷阿拉玛

10.清除账号密码

11.卡服务器

12.输入框刷物资

2024年最新发现引擎后门漏洞介绍：

PM权限，可以通过后门使用PM权限。

通过后门可插入任意脚本，比如领取物品，输入答案领取物品或带锄头领取物品或掉在地上等脚本漏洞

删任意表。

刷数据库存在的任意物品。.

全服角色给魔石

打乱任意表

刷天使修充值

解封号权限

搭建破解1655也要注意远控问题。
下面介绍漏洞目前能解决的方法：

以下是版本漏洞：

1.人物带装备去海岛仓库触发脚本可以把服务器卡死机
解决方法：查卡触发脚本，二移除仓库NPC。（什么物品我就不说了）

2.无限刷阿拉玛18级阿拉玛

带两个物品到树心城找NPC 点他会触发出小怪 打死出10个18级阿拉玛（什么物品我就不说了）

解决方法：
查树心NPC或者其他城市NPC 把没用的NPC删了。然后查脚本  查物品出处的NPC 删除这些不正常出物品的脚本！
查怪没有的怪把脚本入口和爆率物品表删除。

3.输入框刷物资一般是因为一键幻化引起的，或者是版本无意和有意的输入框变量漏洞。

解决发放：删除无用的输入框。有用输入框检查是否有未知的变量脚本清除它。

4.NPC对话密码漏洞。

解决方法：查询可见的NPC点击对话或使用工具查看脚本是否正常。

引擎后门目前只能插件工具解决，
23年插件：可以解决关机问题，刷魔石问题，物品复制和打乱，刷阿拉妈，宝宝刷新，账号清理，打乱数据等后门问题，具体效果未测试。

24年插件：可以解决目前发现的95%漏洞后门。如有需要可以联系QQ14508690咨询防后门插件！

此文章后期如发现其他漏洞会继续补进来和处理方法！

本体登录器和ACC也有删库后门，类似与UP后门。

UP漏洞，通过Sdk命令删库，解决方法换PHP版的 UP，或者换无漏洞的UP，本站可以下载，去搜索php手游账号注册，或者使用别人的sdk。

第二预防就是myqsl工具创建一个用户把DROP权限取消。

以下方法是否有用自行检查。

mysql取消用户权限的方法：

1、利用“REVOKE ALL ON *.*”取消全局权限；

2、利用“REVOKE ALL ON 数据库名.*”取消数据库级别的权限；

3、利用“REVOKE ALL ON 数据库名.表名”取消表级别的权限。

 

在 MySQL 中，可以使用 REVOKE 语句删除某个用户的某些权限

全局级，授予及撤销全局权限

授权：GRANT ALL ON *.*

撤销授权:REVOKE ALL ON *.*

数据库级，授予及撤销某个数据库的权限

授权：GRANT ALL ON 数据库名.*

撤销授权:REVOKE ALL ON 数据库名.*

表级，授予及撤销某个数据库中某张表的权限

授权：GRANT ALL ON 数据库名.表名

撤销授权:REVOKE ALL ON 数据库名.表名