花魁直播高品质美女在线视频互动社区 - 花魁直播官方版

 歡迎來(lái)到素材無(wú)憂(yōu)網(wǎng),按 + 收藏我們
登錄 注冊(cè) 退出 找回密碼

織夢(mèng)dedecms留言板注入漏洞edit.inc.php修復(fù)方法

時(shí)間: 2018-12-05 08:31 閱讀: 作者:素材無(wú)憂(yōu)網(wǎng)

/plus/guestbook/edit.inc.php  這個(gè)是一個(gè)dedecms留言板注入漏洞,因?yàn)闆](méi)有對(duì)$msg過(guò)濾,導(dǎo)致可以任意注入,處理方案如下:
打開(kāi)/plus/guestbook/edit.inc.php,搜索代碼:
else if($job=='editok')
修改為:
else if($job=='editok') { $remsg = trim($remsg); /* 驗(yàn)證$g_isadmin */ if($remsg!='')  { //管理員回復(fù)不過(guò)濾HTML if($g_isadmin) { $msg = "<div class=\\'rebox\\'>".$msg."</div>\n".$remsg;  //$remsg <br><font color=red>管理員回復(fù):</font> } else { $row = $dsql->GetOne("SELECT msg From `a15_guestbook` WHERE id='$id' ");  $oldmsg = "<div class=\\'rebox\\'>".addslashes($row['msg'])."</div>\n";  $remsg = trimMsg(cn_substrR($remsg, 1024), 1); $msg = $oldmsg.$remsg; } } /* */ /* 對(duì)$msg進(jìn)行有效過(guò)濾 */ $msg = addslashes($msg); /* */ $dsql->ExecuteNoneQuery("UPDATE `a15_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  ShowMsg("成功更改或回復(fù)一條留言!", $GUEST_BOOK_POS); exit(); }

版權(quán)聲明: 本站資源均來(lái)自互聯(lián)網(wǎng)或會(huì)員發(fā)布,如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除!謝謝!

轉(zhuǎn)載請(qǐng)注明: 織夢(mèng)dedecms留言板注入漏洞edit.inc.php修復(fù)方法

標(biāo)簽:  
相關(guān)文章
模板推薦