久久久精品2019免费观看_亚洲国产精品成人久久久_69国产成人综合久久精品91_国产精品久久精品视

DEDECMS織夢:投票模塊漏洞解決方法

  • liuying 發(fā)布于 2021-12-12
  • 分類:dedecms教程
  • 閱讀(531)
  核心提示:DedeCMS投票模塊有朋友反映投票主題的選項經(jīng)常被sql注入刪除,經(jīng)過iOS100知識庫查看代碼發(fā)現(xiàn)投票模塊代碼沒有對sql參數(shù)進(jìn)行轉(zhuǎn)換,導(dǎo)致不法分子sql注入。只要講addslashes()改為mysql_real_escape_string()即可。打 開/include/dedevote.c…

DedeCMS投票模塊有朋友反映投票主題的選項經(jīng)常被sql注入刪除,經(jīng)過iOS100知識庫查看代碼發(fā)現(xiàn)投票模塊代碼沒有對sql參數(shù)進(jìn)行轉(zhuǎn)換,導(dǎo)致不法分子sql注入。只要講addslashes()改為mysql_real_escape_string()即可。
打 開/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");
修改為
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");
注:
* addslashes() 是強(qiáng)行加;
* mysql_real_escape_string()  會判斷字符集,但是對PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考慮連接的當(dāng)前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已經(jīng)棄用這種方法,不推薦使用)

未經(jīng)允許不得轉(zhuǎn)載:445IT之家 » DEDECMS織夢:投票模塊漏洞解決方法

贊 (0) 打賞

作者:liuying

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

微信掃一掃打賞