在DEDECMS投票模块漏洞的解决方案分析

在DEDECMS投票模块漏洞的解决方案分析
点评:dedecms投票模块有朋友反映投票主题的选择往往是通过SQL注入后删除,萧边看代码,发现投票模块代码没有变换的SQL参数,导致非法SQL注入。只是改变对mysql_real_escape_string addslashes()()

打开/包括/ dedevote.class.php文件寻找美元-> DSQL -> executenonequery(更新` dnzsw04_vote `集测度=,(美元-> voteinfos { 'totalcount} + 1)。

修改
美元-> DSQL -> executenonequery(更新` dnzsw04_vote `集测度=,(美元-> voteinfos { 'totalcount} + 1)。

注:
* addslashes()是强制加;

*(mysql_real_escape_string)将确定字符集,但也有PHP版本要求(PHP > = 4;4.0.3,PHP 5)

* mysql_escape_string不考虑设置连接当前字符。(PHP > = 4 4.0.3,PHP 5,注意:在PHP5.3已经放弃了这种方法推荐
标签:模块解决方案漏洞技巧dedecms
免责声明:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
相关文章
工具
说明

声明:本站涵盖的内容、图片等数据系网络、用户收集整理发布,部分内容未能与原作者取得联系。若涉及版权问题,请联系我们进行删除!

Copyright © 技巧技巧 2022 jqjq.net All Right Reserved. 蜀ICP备2022023735号-1

返回顶部