400-1100-266

9:00-24:00(工作日)

主页 > 网站建设 > 建站知识 > DedeCMS教程:投票模块漏洞解决方法

DedeCMS教程:投票模块漏洞解决方法

POST TIME:2020-04-05 22:44

html5响应式网站织梦模板源码IT网络工作室织梦网

html5响应式网站织梦模板源码IT网络工作室织梦网

软件APP类网站源码织梦通用型企业网站源码html

软件APP类网站源码织梦通用型企业网站源码html

蓝色安防器材公司类整站模板

蓝色安防器材公司类整站模板

工业环保工程类企业网站织梦模板(带手机端)

工业环保工程类企业网站织梦模板(带手机端)

DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除,经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要讲addslashes()改为mysql_real_escape_string()即可。

打 开/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

修改为

$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

注:

* addslashes() 是强行加;

* mysql_real_escape_string()会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)

* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)



推荐建站资讯更多>>
推荐模板下载更多>>
蓝色物业类企业公司网站织梦模板

蓝色物业类企业公司网站织梦模板

响应式工业重工网站源码机械类网站织梦模板

响应式工业重工网站源码机械类网站织梦模板

织梦标识公司类红色大气营销模板

织梦标识公司类红色大气营销模板

上一篇:DEDECMS教程:后台验证码图片不显示的多种解决方

下一篇:dedecms教程:在首页调用文章页全部内容的方法

 
微信咨询办理
在线QQ客服
( 客服小王 )
( 客服小李 )
( 客服小刘 )
( 客服小张 )
关于我们 | 荣誉资质 | 代理加盟 | 定制研发 | 增值服务 | 域名注册 | 网站套餐 | 建站知识

Copyright © 1999-2012 诚信 合法 规范的巨人网络 www.1330.cn 始建于2005年

全国网站建设网站开发咨询热线:400-1100-266   0514-86177077

江苏扬州巨人网络科技有限公司   总部地址:江苏省扬州信息产业基地11号楼4层

《增值电信业务经营许可证》苏B2-20120278    苏ICP备15040257号 网站地图

DedeCMS,教程,投票,模块,漏洞,解决,方法,DedeCMS,
全国咨询热线
400-1100-266
在线客服( QQ:340506921 )
版权所有:巨人网络(扬州)科技有限公司——拥有网站建设十年经验,具备独立网站开发能力,能够提供完善的网站设计及相关的网站制作服务!     全国统一服务热线:400-1100-266
收缩
  • 微信客服
  • 微信二维码

  • 电话咨询

  • 400-1100-266