如何修复DedeCMS的投票模块漏洞

手册/FAQ (463) 2015-12-29 14:39:40

DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除,经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要讲addslashes()改为mysql_real_escape_string()即可。

 

打开/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `#@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

 

修改为

 

$this->dsql->ExecuteNoneQuery("UPDATE `#@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

 

注:

 

* addslashes() 是强行加\;

* mysql_real_escape_string()  会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)

* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)

THE END
Tags:
分享:

上一篇

下一篇

相关文章阅读

域名重定向怎么解决

网站挂马检测工具

外贸网站用户分析

投资域名的基本技巧
国外主机推荐

Hostinger

Hostinger是一家业界领先的美国虚拟主机提供商, 成立于2004年,拥有多年行业经验,深受数百万站长信赖。Hostinger专注于提供超值优质的虚拟主机产品,涵盖美国主机、WordPress主机、云主机、cPanel主机和VPS主机多种主机方案,拥有美国、新加坡和英国等全球7个数据中心。

国外服务器推荐

RAKsmart

RAKsmart是知名的国外服务器租用商,面向用户全球用户提供了云服务器、站群服务器、高防服务器和大带宽服务器等多种国外服务器产品,拥有美国、香港、日本和韩国等十几个数据中心,提供的国外服务器租用方案在全球各地都有比较理想的访问速度。

国外服务器推荐

优惠信息

更多>

Krypt26周年庆 E系列服务器低至$105.49/月

2024-05-13 热度{39}

RAKsmart五月大促 VPS低至0.99美元 云服务器仅$19.9/年

2024-05-06 热度{80}

HostEase五一大促 虚拟主机享6折 低至$3.95

2024-04-29 热度{113}

Megalayer五一特惠 香港服务器仅299元/月 VPS享5折

2024-04-24 热度{138}

FriendHosting十五周年特惠 虚拟主机用户高达40%

2024-04-22 热度{118}

香港服务器资讯

更多>

香港大带宽服务器如何选择?

2024-04-17 热度{147}

香港站群服务器性价比高吗?

2024-04-15 热度{144}

香港服务器内地能访问么?

2024-03-13 热度{164}

香港服务器哪家比较好?靠谱香港服务器推荐

2024-02-14 热度{146}

香港服务器可以访问国外网站吗?

2024-02-07 热度{194}

国外主机商

更多>

国外主机服务商有哪些?国外主机服务商推荐

2023-05-19 热度{743}

如何在Hostinger主机上配置Cron Job定时任务

2022-10-13 热度{589}

FastComet九周年特惠 高级托管可享85%折扣

2022-09-06 热度{782}

Hostwinds云服务器价格多少钱

2022-08-22 热度{816}

Hostens VPS更换IP地址的图文教程

2022-06-08 热度{3401}