糖果站长网

糖果站长网

首页 / 经验 / 织梦DedeCMS投票漏洞解决办法

织梦DedeCMS投票漏洞解决办法

经验 dawei · 2021年11月25日 1:24

DedeCMS投票漏洞是因为我们在获取投票项时没有进行任何过滤,从而可以让人可以直接利用sql注入形式进行攻击我们的系统了,下面我来给大家介绍解决办法.
 
打开/include/dedevote.class.php文件,查找如下代码:
 
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");
修改为如下代码:
 
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");
注:
 
* addslashes() 是强行加;
 
* mysql_real_escape_string()  会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)
 
最好直接使用addslashes同时要查看你php是否默认打开了addslashes这个自动功能哦,如果有了我们就不用加了.

本文来自网络,不代表糖果站长网立场,转载请注明出处:https://www.1tg.com.cn/html/jianzhan/jy/2021/1125/23127.html

dawei作者

【声明】:糖果站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。
上一篇
下一篇

为您推荐

联系我们

联系我们

0577-28828765

在线咨询: QQ交谈

邮箱: xwei067@foxmail.com

工作时间:周一至周五,9:00-17:30,节假日休息
返回顶部

【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱xwei067@foxmail.com我们将及时予以处理。

Copygight © 2013-2023 https://www.1tg.com.cn All Rights Reserved.糖果站长网

站长:xwei067#foxmail.com(请把#换成@)