点评:dedecms投票模块有朋友反映投票主题的选择往往是通过SQL注入后
删除,萧边看代码,
发现投票模块代码没有变换的SQL
参数,导致非法SQL注入。只是改变对mysql_real_escape_string addslashes()()
打开/包括/ dedevote.class.php文件寻找美元-> DSQL -> executenonequery(更新` dnzsw04_vote `集测度=,(美元-> voteinfos { 'totalcount} + 1)。
修改它
美元-> DSQL -> executenonequery(更新` dnzsw04_vote `集测度=,(美元-> voteinfos { 'totalcount} + 1)。
注:
* addslashes()是强制加;
*(mysql_real_escape_string)将确定字符集,但也有PHP版本要求(PHP > = 4;4.0.3,PHP 5)
* mysql_escape_string不考虑设置连接当前字符。(PHP > = 4 4.0.3,PHP 5,注意:在PHP5.3已经放弃了这种
方法不
推荐)