花魁直播高品质美女在线视频互动社区 - 花魁直播官方版

 歡迎來到素材無憂網(wǎng),按 + 收藏我們
登錄 注冊(cè) 退出 找回密碼

織夢(mèng)DEDECMS防范投票模塊SQL注入垃圾信息

時(shí)間: 2018-12-09 20:40 閱讀: 作者:素材無憂網(wǎng)

由于織夢(mèng)(dedecms)是開源程序漏洞也是比較多的,但是由于漏洞問題,可以說使用這款程序建站的站長朋友們無時(shí)不在擔(dān)憂被掛馬,攻擊,掛黑鏈等。小編之前也寫了一些關(guān)于織夢(mèng)被入侵的一些防范文章總結(jié)。因?yàn)橹灰潜粧祚R了不只是掛在一個(gè)文件中,模板,后臺(tái)等都會(huì)被掛,今天又遇到了一種掛馬的方法,那就是通過SQL注入。

那么是如何注入的呢?留心的站長們會(huì)發(fā)現(xiàn)在首頁文章的最下面一般會(huì)有一個(gè)對(duì)文章進(jìn)行投票的模塊圖標(biāo),當(dāng)我們打開投票模塊代碼的時(shí)候發(fā)現(xiàn)投票模塊代碼沒有對(duì)用戶提交過來的SQL參數(shù)進(jìn)行轉(zhuǎn)義。這就導(dǎo)致了入侵者有機(jī)可乘了。作為一個(gè)程序員而言在開發(fā)的時(shí)候都會(huì)使用addslashes()函數(shù)對(duì)用戶提交過來的數(shù)據(jù)進(jìn)行轉(zhuǎn)義操作,那么在這個(gè)模塊代碼中該如何進(jìn)行轉(zhuǎn)義呢?下面小編就來詳細(xì)的講解下方法吧。
首先根據(jù)路徑找到/include/dedevote.class.php文件,使用一款編輯軟件打開。
查找以下代碼:
$this->dsql->ExecuteNoneQuery("UPDATE`xiuzhanwang_vote`SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

替換為:
$this->dsql->ExecuteNoneQuery("UPDATE`xiuzhanwang_vote`SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

其實(shí)也就是addslashes()改為mysql_real_escape_string()對(duì)模塊投票提交過來的數(shù)據(jù)進(jìn)行轉(zhuǎn)義后再向數(shù)據(jù)庫提交,這樣轉(zhuǎn)義之后就會(huì)把例如逗號(hào),雙引號(hào)全部轉(zhuǎn)義成單斜杠了。這樣就可以有效的防范投票的時(shí)候被SQL注入的風(fēng)險(xiǎn)了。

版權(quán)聲明: 本站資源均來自互聯(lián)網(wǎng)或會(huì)員發(fā)布,如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除!謝謝!

轉(zhuǎn)載請(qǐng)注明: 織夢(mèng)DEDECMS防范投票模塊SQL注入垃圾信息

標(biāo)簽:  
相關(guān)文章
模板推薦