欢迎来到抓润网

DedeCMS投票模块插件sql注入漏洞解决方法_dedecms教程_抓润网

来源: 互联网 日期: 2020-07-16 13:58:45

有很多织梦站长朋友反映DedeCMS投票模块的投票主题的选项经常被sql注入删除,经过检查发现投票模块代码没有对sql参数进行转换,导致不法分子可以恶意利用sql注入。

解决方法很简单,只要将

addslashes()

改为

mysql_real_escape_string()

即可。

找到并打开/include/dedevote.class.php文件,在里面找到如下代码:

$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

将其替换为如下代码:

$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

说明:

addslashes() 是强行加\;

mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)

mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)

(抓润网帝国模板 www.zhuarun.com)


上一篇:DedeCMS软件模型的软件描述字数限制的解决方法_dedecms教程_抓润网

下一篇:DedeCMS登录管理后台出现假死的解决方法_dedecms教程_抓润网

  • 在线客服

    点击这里给我发消息 点击这里给我发消息

    官方微信

    仅处理投诉、举报及平台使用问题;
    商品问题请咨询商家客服!

浏览记录