服务器之家:专注于服务器技术及软件下载分享
分类导航

DEDECMS|帝国CMS|Discuz|PHPCMS|Wordpress|ZBLOG|ECSHOP|

服务器之家 - 建站程序 - DEDECMS - 浅析DedeCMS投票模块漏洞的解决方法

浅析DedeCMS投票模块漏洞的解决方法

2019-09-01 13:20织梦教程网 DEDECMS

DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除,经过脚本之家小编查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要将addslashes()改为mysql_real_escape_string()即可

打开/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'"); 

修改为 
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'"); 

注: 
* addslashes() 是强行加\; 

* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5) 

* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用) 

  • 模块
  • 漏洞
  • DEDECMS
  • 投票

    • 延伸 · 阅读

    精彩推荐
    最近更新
    编辑推荐
    阅读排行
    热门标签
    302   301   404   空间迁移   TypeLink.class.php   未审核   likearticle   全站   相关文章   列表页   URL   SEO优化   自定义属性   远程图片本地化   https   dede:list   导航菜单栏   重定向   黑色   文章模型   图文分离   DEDECMS   DEDECMS教程   DEDECMS安装   织梦CMS   dede   tag   织梦   jpeg   织梦模板  
    © 2019-2020 服务器之家 版权所有 www.zzvips.com 关于我们联系我们版权申明网站地图