织梦dedecms留言板注入漏洞edit.inc.php修复方法

站长新闻 11-29 浏览 322 次

/plus/guestbook/edit.inc.php 这个是一个dedecms留言板注入漏洞，因为没有对$msg过滤，导致可以任意注入，处理方案如下：
打开/plus/guestbook/edit.inc.php，搜索代码：
else if($job=='editok')
修改为：
else if($job=='editok') { $remsg = trim($remsg); /* 验证$g_isadmin */ if($remsg!='') { //管理员回复不过滤HTML if($g_isadmin) { $msg = "".$msg."

\n".$remsg; //$remsg
管理员回复： } else { $row = $dsql->GetOne("SELECT msg From `a15_guestbook` WHERE id='$id' "); $oldmsg = "".addslashes($row['msg'])."

\n"; $remsg = trimMsg(cn_substrR($remsg, 1024), 1); $msg = $oldmsg.$remsg; } } /* */ /* 对$msg进行有效过滤 */ $msg = addslashes($msg); /* */ $dsql->ExecuteNoneQuery("UPDATE `a15_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' "); ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS); exit(); } 标签：

上一篇 织梦dedecms cookies泄漏导致SQL漏洞article

下一篇织梦dedecms注入漏洞pm.php修复方法

织梦dedecms留言板注入漏洞edit.inc.php修复方法

热门推荐

浅谈关于织梦模板dedeCMS幻灯片的修改教程

织梦模板DEDECMS列表有缩略图则显示,无缩图则不显示图

织梦模板实现所属栏目分类标签

织梦dedeCMS删除文章时同时删除缩图和内容中大图等附件

dedecms列表分页样式css修改

大型网站和企业站SEO优化的区别？

云服务器本地安全的5个重要观察

自媒体行业现在是什么情况

对于大型网站的优化我们要如何做

域名的重要性都表现在哪里