DedeCMS投票模块插件sql注入漏洞解决方法
有很多织梦站长朋友反映DedeCMS投票模块的投票主题的选项经常被sql注入删除,经过检查发现投票模块代码没有对sql参数进行转换,导致不法分子可以恶意利用sql注入。
解决方法很简单,只要将
addslashes()
改为
mysql_real_escape_string()
即可。
找到并打开/include/dedevote.class.php文件,在里面找到如下代码:
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");
将其替换为如下代码:
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");
说明:
addslashes() 是强行加\;
mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)
mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)
(资源库 www.zyku.net)
您可能感兴趣的文章
- 01-18九酷福音-九酷福音应用软件功能介绍
- 09-20苏周到查询核酸检测结果方法分享
- 10-22vivox70pro+个人热点怎么开
- 12-26海氏烘焙-海氏烘焙应用软件功能介绍
- 10-09全民小视频在哪里发布视频
- 01-10SuperSlide插件介绍以及使用教程
- 03-05vivoy53s设置充电动画教程
- 03-22opporeno5pro隐藏应用app教程
- 07-15帝国CMS实现一个字段两个变量的方法(PH
- 09-09sql server windows nt 64bit 内存占
- 02-18YII路径的用法总结
- 09-14魅族手机怎么设置分屏模式
- 09-2051漫画切换帐号教程介绍
- 03-22oppoa93智能侧边栏启用教程
- 01-11极速文件扫描-极速文件扫描应用软件功
- 07-15帝国CMS教程:灵动标签调用字段大全
- 01-08手机相片恢复大师-手机相片恢复大师应
- 03-21三星s20来电跑马灯开启步骤教程
- 01-08文件传输助手-文件传输助手应用软件功
- 01-10澳达城配-澳达城配应用软件功能介绍
最近更新
阅读排行
猜你喜欢
- 01-20华为悬浮导航怎么打开
- 08-15evEcoStudio取消分隔符显示教程分享
- 12-04Windows Server 2016磁盘管理快捷入口
- 01-05oppo手机在哪开启蓝牙共享网络
- 02-10opporeno5手机系统一键清理教程
- 09-19小米平板5pro在哪里开启语音唤醒
- 09-19hellotalk加好友步骤介绍
- 11-21PHP中实现简易计算器的代码
- 04-24oppoa93关闭VoLTE高清通话方法
- 01-28iPhone设置抬起唤醒方法