织梦dedecms留言板注入漏洞edit.inc.php修复方法

站长新闻 11-29 浏览 127
/plus/guestbook/edit.inc.php  这个是一个dedecms留言板注入漏洞,因为没有对$msg过滤,导致可以任意注入,处理方案如下:
打开/plus/guestbook/edit.inc.php,搜索代码:
else if($job=='editok')
修改为:
else if($job=='editok') { $remsg = trim($remsg); /* 验证$g_isadmin */ if($remsg!='')  { //管理员回复不过滤HTML if($g_isadmin) { $msg = "".$msg."
\n".$remsg;  //$remsg 
管理员回复: } else { $row = $dsql->GetOne("SELECT msg From `a15_guestbook` WHERE id='$id' ");  $oldmsg = "".addslashes($row['msg'])."
\n";  $remsg = trimMsg(cn_substrR($remsg, 1024), 1); $msg = $oldmsg.$remsg; } } /* */ /* 对$msg进行有效过滤 */ $msg = addslashes($msg); /* */ $dsql->ExecuteNoneQuery("UPDATE `a15_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS); exit(); } 标签:
本文版权声明本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请联系本站客服,一经查实,本站将立刻删除。

上一篇 织梦dedecms cookies泄漏导致SQL漏洞article

下一篇织梦dedecms注入漏洞pm.php修复方法

热门推荐