dedecms投票模块漏洞解决方法
2016-06-25来源:易贤网

dedecms投票模块有朋友反映投票主题的选项经常被sql注入删除,经过ios100知识库查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要将addslashes()改为mysql_real_escape_string()即可。

打开/include/dedevote.class.php文件,查 找$this->dsql->executenonequery(update `dede_vote` set totalcount='.($this->voteinfos['totalcount']+1).',votenote='.addslashes($items).' where aid='.$this->voteid.');

修改为

$this->dsql->executenonequery(update `dede_vote` set totalcount='.($this->voteinfos['totalcount']+1).',votenote='.mysql_real_escape_string($items).' where aid='.mysql_real_escape_string($this->voteid).');

注:

* addslashes() 是强行加\;

* mysql_real_escape_string() 会判断字符集,但是对php版本有要求;(php 4 >= 4.0.3, php 5)

* mysql_escape_string不考虑连接的当前字符集。(php 4 >= 4.0.3, php 5, 注意:在php5.3中已经弃用这种方法,不推荐使用)

推荐信息
荔枝FM网络电台怎么使用声鉴卡鉴别声音?
360浏览器怎么看3个月以前的浏览记录?
猎豹浏览器夜间模式怎么设置?猎豹安全浏览器切换白天和夜间模式的方法
ai扭曲变换命令怎么绘制抽象风格的图形?
MSC Apex Grizzly 2017中文安装及破解详细教程(附破解文件下载)
火绒安全软件怎么查看流量去向?火绒安全软件监控网络流量的方法
叶子猪手游模拟器如何定位 模拟器虚拟定位方法
叶子猪手游模拟器能多开吗 模拟器多开方法
叶子猪手游模拟器下载游戏保存在哪 下载游戏保存路径介绍
手机迅雷下载的文件在哪个文件夹?迅雷手机版下载存放位置介绍
PS图层蒙版怎么使用? ps图层蒙版的实例教程
Marvelous Designer怎么破解?三维服装设计软件Marvelous Designer安
微信公众号怎么制作一个摇一摇抽奖的功能?
电视盒子怎么设置路由器功能呢?
sketchup怎么设计立体Logo?
高德地图怎么收藏地点? 高德地图app新增收藏地点的教程
微信零钱通是什么? 微信APP申请体验零钱通的技巧
小程序开发工具全新上线
z-blog完美转移到wordpress的方法分享
zblog2.2实现首页显示指定的分类技巧