您现在的位置是:首页 > 教程 > dedecms教程dedecms教程
解决dede织梦投票模块漏洞的方法
怀蕊2024-02-18 23:55:06dedecms教程已有人查阅
导读有站长反映织梦投票模块的投票主题选项经常被sql注入删除,经过查看代码发现投票模块代码没有对sql参数进行转换,导致被黑客sql注入。
有站长反映织梦投票模块的投票主题选项经常被sql注入删除,经过查看代码发现投票模块代码没有对sql参数进行转换,导致被黑客sql注入。
解决方法如下:
只要把 addslashes() 改为 mysql_real_escape_string() 即可。
打开/include/dedevote.class.php文件
查找
* addslashes() 是强行加\;
* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)
解决方法如下:
只要把 addslashes() 改为 mysql_real_escape_string() 即可。
打开/include/dedevote.class.php文件
查找
$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.($this->VoteInfos['totalcount']+1).”‘,votenote=’”.addslashes($items).”‘ WHERE aid=’”.$this->VoteID.”‘”);
修改为
$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.(mysql_real_escape_string($this->VoteInfos['totalcount'])+1).”‘,votenote=’”.mysql_real_escape_string($items).”‘ WHERE aid=’”.mysql_real_escape_string($this->VoteID).”‘”);
注:* addslashes() 是强行加\;
* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)
本文标签:
很赞哦! ()
随机图文
dedecms获取文档当前栏目所在目录链接URL的方法
dedecms内容页调用当前栏目其实用下来是调用不出来的,{dede:field.typename/}是有效的,可是 {dede:field.typeurl/}却调不出文档当前栏目所在目录链接URL
dedecms列表页文章标题加粗效果怎么删除
最近在用DEDECMS搭架网站的时候,我碰到这种情况:就是生成的列表模板中,列表文章标题全都加粗加黑了,这样看的特别扭。刚开始,我还以为是样式出了问题
织梦dedecms靠山验证码错误的解决方法
身为织梦DedeCMS网站打点职员的你是否碰着过这样的题目,在登录打点靠山时谁人可恶的验证码理解写对了,但网站却死活不认可……这让你眼巴巴的看着已经正确填写验证码后却无法登岸靠山。
织梦火车采集器采集完文章并更新栏目页的方法
打开文件 /dede/inc/inc_archives_functions.php1、在最后增加方法2、找到function GetUpdateTest() 方法,在 return $revalue;前调用上面新增方法。
| 留言与评论 (共有 条评论) |
