酷币充值 VIP购买

M1850资源网 - 最专业的网站源码模板下载站!

全部作品
全部作品
织梦模板
网站模板
源码插件
游戏源码
脚本特效
视频教程
建站教程
 模板  素材  织梦  织梦模板
M1850资源网 > 建站教程 > 织梦教程 > 织梦二次开发 > 浅析DedeCMS投票模块漏洞的解决方法
购买VIP 酷币充值

分类

DEDE教程 织梦安全 织梦标签 织梦优化 织梦二次开发 织梦安装

推荐文章

推荐下载

标签推荐

>> 更多
dedecms 漏洞 投票模块

浅析DedeCMS投票模块漏洞的解决方法

点评:DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除,经过M1850资源网模板小编查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要将addslashes()改为mysql_real_escape_string()即可     打开/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'"); 

修改为 
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'"); 

注: 
* addslashes() 是强行加\; 

* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5) 

* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用) 
  • 关于我们  -   免责声明  - 广告合作   - 注册协议  -  联系我们  

    Copyright © 2019 M1850资源网 版权所有 粤ICP备15101490号-2

    • M1850资源网 - 最专业的网站源码模板下载站! 合作/广告QQ:124792845

    嘿,我来帮您!

    展开