专业的主机测评网
我们一直在努力

织梦dedecms留言板注入漏洞edit.inc.php修复方法

选主机收集整理的这篇文章主要介绍了织梦dedecms留言板注入漏洞edit.inc.php修复方法,选主机小编觉得挺不错的,现在分享给大家,也给大家做个参考。

/plus/guestbook/edit.inc.php这个是一个dedecms留言板注入漏洞,因为没有对$msg过滤,导致可以任意注入,处理方案如下:
打开/plus/guestbook/edit.inc.php,搜索代码:
else if($job=='editok')
修改为:

elseif($job=='editok'){$remsg=trim($remsg); /*验证$g_isadmin*/ if($remsg!='') {//管理员回复不过滤HTML if($g_isadmin){$msg="<divclass=\\'rebox\\'>".$msg."</div>\n".$remsg; //$remsg<br><fontcolor=red>管理员回复:</font> }else{$row=$dsql->GetOne("SELECTmsgFrom`a15_guestbook`WHEREid='$id'"); $oldmsg="<divclass=\\'rebox\\'>".addslashes($row['msg'])."</div>\n"; $remsg=trimMsg(cn_substrR($remsg,1024),1);$msg=$oldmsg.$remsg;}} /**/ /*对$msg进行有效过滤*/ $msg=addslashes($msg); /**/ $dsql->ExecuteNoneQuery("UPDATE`a15_guestbook`SET`msg`='$msg',`posttime`='".time()."'WHEREid='$id'"); ShowMsg("成功更改或回复一条留言!",$GUEST_BOOK_POS);exit();}

总结:
以上是选主机为你收集整理的织梦dedecms留言板注入漏洞edit.inc.php修复方法全部内容,希望文章能够帮助到大家。
如果觉得选主机网站内容还不错,欢迎将选主机网站推荐给好友。

未经允许不得转载:选主机 » 织梦dedecms留言板注入漏洞edit.inc.php修复方法
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

免费领取阿里云 优惠券 代金券

2000元代金券新人福利