您现在的位置是:首页 > 教程 > dedecms教程dedecms教程
解决dede织梦投票模块漏洞的方法
怀蕊2024-02-18 23:55:06dedecms教程已有人查阅
导读有站长反映织梦投票模块的投票主题选项经常被sql注入删除,经过查看代码发现投票模块代码没有对sql参数进行转换,导致被黑客sql注入。
有站长反映织梦投票模块的投票主题选项经常被sql注入删除,经过查看代码发现投票模块代码没有对sql参数进行转换,导致被黑客sql注入。
解决方法如下:
只要把 addslashes() 改为 mysql_real_escape_string() 即可。
打开/include/dedevote.class.php文件
查找
* addslashes() 是强行加\;
* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)
解决方法如下:
只要把 addslashes() 改为 mysql_real_escape_string() 即可。
打开/include/dedevote.class.php文件
查找
$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.($this->VoteInfos['totalcount']+1).”‘,votenote=’”.addslashes($items).”‘ WHERE aid=’”.$this->VoteID.”‘”);
修改为
$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.(mysql_real_escape_string($this->VoteInfos['totalcount'])+1).”‘,votenote=’”.mysql_real_escape_string($items).”‘ WHERE aid=’”.mysql_real_escape_string($this->VoteID).”‘”);
注:* addslashes() 是强行加\;
* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)
本文标签:
很赞哦! ()
随机图文
-
织梦dedecms模型管理系统模型改成自动模型的方法
怎样把织梦dedecms的系统模型改成可以能删除的自动模型呢,其实很简单,方法如下。1、进入数据库phpmyadmin,找到dede_channltype表。 -
给dede_sys_enum添加字段father的实例教程
dede 事情: dede提供了联动模型,对应数据库表dede_sys_enum,添加一个父节点字段。提供触发器自动更新。 解决: 触发器修改father -
dede织梦通过sql语句删除链接地址中的a/示例
我们在对dedecms进行seo优化 的时候通常会要去掉dedecms默认的a/这个地址,当然在新建栏目的时候,我们可以通过选择网站根目录或者cms根目录来实现去掉a/的目的 -
dede织梦arclist标签无法调用副栏目文章怎么办
dedecms中的文章在选择幅栏目后,在其对应的幅栏目列表中可以显示该文章,但在arclist 标签中却无法显示该文章。
留言与评论 (共有 条评论) |