服务器之家:专注于服务器技术及软件下载分享
分类导航

DEDECMS|帝国CMS|Discuz|PHPCMS|Wordpress|ZBLOG|ECSHOP|苹果CMS|极致CMS|CMS系统|

服务器之家 - 建站程序 - DEDECMS - 浅析DedeCMS投票模块漏洞的解决方法

浅析DedeCMS投票模块漏洞的解决方法

2019-09-01 13:20织梦教程网 DEDECMS

DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除,经过脚本之家小编查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要将addslashes()改为mysql_real_escape_string()即可

打开/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'"); 

修改为 
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'"); 

注: 
* addslashes() 是强行加\; 

* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5) 

* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用) 

  • 模块
  • 漏洞
  • DEDECMS
  • 投票

    • 延伸 · 阅读

    精彩推荐
    最近更新
    编辑推荐
    阅读排行
    热门标签
    302   301   404   全站   定时   状态   登录   会员   权重排序   dede:arclist   dede:list   https   自定义属性   SEO优化   URL   列表页   迅睿CMS   DEDECMS   likearticle   未审核   TypeLink.class.php   导航菜单栏   重定向   织梦模板   jpeg   织梦   tag   dede   织梦CMS   DEDECMS安装  
    © 2019-2024 服务器之家(www.zzvips.com) 版权所有关于我们联系我们版权申明网站地图