选主机选主机收集整理的这篇文章主要介绍了织梦dedecms留言板注入漏洞edit.inc.php修复方法,选主机小编觉得挺不错的,现在分享给大家,也给大家做个参考。
/plus/guestbook/edit.inc.php这个是一个dedecms留言板注入漏洞,因为没有对$msg过滤,导致可以任意注入,处理方案如下:
打开/plus/guestbook/edit.inc.php,搜索代码:
else if($job=='editok')
修改为:
打开/plus/guestbook/edit.inc.php,搜索代码:
else if($job=='editok')
修改为:
elseif($job=='editok'){$remsg=trim($remsg); /*验证$g_isadmin*/ if($remsg!='') {//管理员回复不过滤HTML if($g_isadmin){$msg="<divclass=\\'rebox\\'>".$msg."</div>\n".$remsg; //$remsg<br><fontcolor=red>管理员回复:</font> }else{$row=$dsql->GetOne("SELECTmsgFrom`a15_guestbook`WHEREid='$id'"); $oldmsg="<divclass=\\'rebox\\'>".addslashes($row['msg'])."</div>\n"; $remsg=trimMsg(cn_substrR($remsg,1024),1);$msg=$oldmsg.$remsg;}} /**/ /*对$msg进行有效过滤*/ $msg=addslashes($msg); /**/ $dsql->ExecuteNoneQuery("UPDATE`a15_guestbook`SET`msg`='$msg',`posttime`='".time()."'WHEREid='$id'"); ShowMsg("成功更改或回复一条留言!",$GUEST_BOOK_POS);exit();}
![[field:global.autoindex/]实现数字序号列表-选主机](https://www.xuanzhuji.com/wp-content/uploads/2021/04/e2d1a35b42dfa33-220x150.jpg)
