淺析DedeCMS投票模塊漏洞的解決方法
來(lái)源:易賢網(wǎng) 閱讀:935 次 日期:2016-06-29 10:05:02
溫馨提示:易賢網(wǎng)小編為您整理了“淺析DedeCMS投票模塊漏洞的解決方法”,方便廣大網(wǎng)友查閱!

DedeCMS投票模塊有朋友反映投票主題的選項(xiàng)經(jīng)常被sql注入刪除,經(jīng)過(guò)腳本之家小編查看代碼發(fā)現(xiàn)投票模塊代碼沒(méi)有對(duì)sql參數(shù)進(jìn)行轉(zhuǎn)換,導(dǎo)致不法分子sql注入。只要將addslashes()改為mysql_real_escape_string()即可

打開(kāi)/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

修改為

$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

注:

* addslashes() 是強(qiáng)行加\;

* mysql_real_escape_string() 會(huì)判斷字符集,但是對(duì)PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)

* mysql_escape_string不考慮連接的當(dāng)前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已經(jīng)棄用這種方法,不推薦使用)

更多信息請(qǐng)查看CMS教程
易賢網(wǎng)手機(jī)網(wǎng)站地址:淺析DedeCMS投票模塊漏洞的解決方法
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請(qǐng)考生以權(quán)威部門(mén)公布的正式信息和咨詢?yōu)闇?zhǔn)!
相關(guān)閱讀CMS教程

2025國(guó)考·省考課程試聽(tīng)報(bào)名

  • 報(bào)班類(lèi)型
  • 姓名
  • 手機(jī)號(hào)
  • 驗(yàn)證碼
關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡(jiǎn)要咨詢 | 簡(jiǎn)要咨詢須知 | 加入群交流 | 手機(jī)站點(diǎn) | 投訴建議
工業(yè)和信息化部備案號(hào):滇ICP備2023014141號(hào)-1 云南省教育廳備案號(hào):云教ICP備0901021 滇公網(wǎng)安備53010202001879號(hào) 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號(hào)
云南網(wǎng)警備案專(zhuān)用圖標(biāo)
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關(guān)注公眾號(hào):hfpxwx
咨詢QQ:526150442(9:00—18:00)版權(quán)所有:易賢網(wǎng)
云南網(wǎng)警報(bào)警專(zhuān)用圖標(biāo)