我之所以要赞美你,更重要的是因为:你还哺育春天的的摇篮。 "冬天来了,春天还会远吗? "在冬天里,思想被提纯了,一直被坚定了,力量在储蓄着。一旦春风拂面,一切更争先恐后,生气勃勃,万紫千红,千姿百态。仿佛含苞的花蕾忽然绽开。
点评:DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除,经过跟版网模板小编查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要将addslashes()改为mysql_real_escape_string()即可
修改为
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");
注:
* addslashes() 是强行加\;
* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)
到此这篇关于浅析DedeCMS投票模块漏洞的如何解决方法就介绍到这了。人生也是一样,难免遭遇坎坷,有时苦难和不幸就像无边黑夜笼罩着你,这时,你就要为自己点一盏灯,不是拿在手上,而是亮在心里。更多相关浅析DedeCMS投票模块漏洞的如何解决方法内容请查看相关栏目,小编编辑不易,再次感谢大家的支持!