Dedecms 模板中心

您现在的位置: 秀站网 > 织梦大学 > 织梦安全 >

织梦DEDECMS防范投票模块SQL注入垃圾信息

来源:重庆时时彩独胆技巧 发布时间:2015-09-14热度: ℃我要评论
由于织梦(dedecms)是开源程序漏洞也是比较多的,但是由于漏洞问题,可以说使用这款程序建站的站长朋友们无时不在担忧被挂马,攻击,挂黑链等。小编之前也写了一些关于织梦被入侵的一些防范文...

本文地址:http://www.helaal.com/dedecms_aq/674.html
文章摘要:织梦DEDECMS防范投票模块SQL注入垃圾信息_织梦安全_织梦大学,前日船身美言不信,落英缤纷历史小说福寿康宁。

由于织梦(dedecms)是开源程序漏洞也是比较多的,但是由于漏洞问题,可以说使用这款程序建站的站长朋友们无时不在担忧被挂马,攻击,挂黑链等。小编之前也写了一些关于织梦被入侵的一些防范文章总结。因为只要是被挂马了不只是挂在一个文件中,模板,后台等都会被挂,今天又遇到了一种挂马的方法,那就是通过SQL注入。

那么是如何注入的呢?留心的站长们会发现在首页文章的最下面一般会有一个对文章进行投票的模块图标,当我们打开投票模块代码的时候发现投票模块代码没有对用户提交过来的SQL参数进行转义。这就导致了入侵者有机可乘了。作为一个程序员而言在开发的时候都会使用addslashes()函数对用户提交过来的数据进行转义操作,那么在这个模块代码中该如何进行转义呢?下面小编就来详细的讲解下方法吧。
 
首先根据路径找到/include/dedevote.class.php文件,使用一款编辑软件打开。
查找以下代码:
$this->dsql->ExecuteNoneQuery("UPDATE`xiuzhanwang_vote`SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

替换为:
$this->dsql->ExecuteNoneQuery("UPDATE`xiuzhanwang_vote`SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");
其实也就是addslashes()改为mysql_real_escape_string()对模块投票提交过来的数据进行转义后再向数据库提交,这样转义之后就会把例如逗号,双引号全部转义成单斜杠了。这样就可以有效的防范投票的时候被SQL注入的风险了。

本文地址:http://www.helaal.com/dedecms_aq/674.html

    时时彩搜索遗漏软件 黑客破解时时彩软件 江西时时彩计划群 重庆时时彩骗局计划群 书签518bcnet博彩堂
    吉林时时彩计划软件 时时彩网站银狐娱乐 聚宝盆做号软件手机版 2015年7月15日江西时时彩开奖号 江西时时彩淘宝
    江西时时彩开奖直播 时时彩推荐号码预测 有正规重庆时时彩平台 凤凰国际时时彩平台 重庆时时彩苹果版免费
    oa时时彩平台源码 黑客攻击时时彩软件 不一定都是守财奴 3d时时彩技巧重庆 彩凤凰时时彩软件4.2
    pc蛋蛋刷蛋 浙江体彩11选5走势 重庆快乐10分预测工具 十一运夺金技巧论坛 重庆时时彩毒胆看号技巧
    云南11选5胆拖计算器 湖南幸运赛车直播官网 江苏十一选五走势图表‘ 河南十一选五奖金对照表 斗地主挣钱
    黑龙江省十一选五预测 河南快三一定牛走势图 新疆35选7杀号技巧 摇钱树彩票 广西快三现场开奖
    河南22选5 排列三和值 重庆时时彩走势 澳门在线博彩 宝利会娱乐城