打开/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");
修改为
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");
注:
* addslashes() 是强行加\;
* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)
浅析DedeCMS投票模块漏洞的解决方法
2019-09-01 13:20织梦教程网 DEDECMS
DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除,经过脚本之家小编查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要将addslashes()改为mysql_real_escape_string()即可
延伸 · 阅读
- 2022-06-27python如何使用contextvars模块源码分析
- 2022-04-21介绍一个Python模块,绘制超级惊艳的可视化动图
- 2022-03-11Python中psutil模块使用汇总
- 2022-03-10Python 可视化matplotlib模块基础知识
- 2022-03-10Python calendar模块详情
- 2022-03-10Python hashlib模块详情
- DEDECMS
防止Dedecms入侵、漏洞问题的4点安全防范建议
这篇文章主要介绍了防止Dedecms入侵、漏洞问题的4点安全防范建议,需要的朋友可以参考下...
- DEDECMS
dedecms搜索页面不能使用arclist等标签的解决方法
这篇文章主要为大家介绍了dedecms搜索页面不能使用arclist等标签的解决方法,通过针对搜索页相关底层代码的修改实现搜索页对标签的支持,是非常实用的技巧...
- DEDECMS
解析DedeCms中data目录下的sessions是什么文件
以下是对DedeCms中data目录下的sessions是什么文件,进行了详细的介绍,需要的朋友可以参考下...
- DEDECMS
让DEDECMS自动内链起来的实现方法
相信很多用DedeCMS的站友们都会为给文章做内链觉得繁琐,对于很多插件可能是实现,但很多都需要花钱买,对于很多草根站长花这钱也不值,小编我因学过...
- DEDECMS
织梦DEDECMS后台文章列表中显示自定义字段的方法
这篇文章主要介绍了织梦后台文章列表中显示自定义字段的方法的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来...
- DEDECMS
DEDECMS系统分页标签自定义二次开发实例
这篇文章主要为大家介绍了DEDECMS系统分页标签自定义二次开发的方法,以dedecms搜索结果分页和dedecms自定义留言分页为例讲述了分页标签二次开发的方法,是...
- DEDECMS
dedecms搬家后出现/include/templets/default/index.htm Not Found!解决方案
生成首页html的时候,后台是可以生成的,只是前台会提示:……(略)/include/***/templets/default/index.htm Not Found...
- DEDECMS
织梦dedecms站点data目录位置变动调整验证码不显示的解决办法
为了安全,我们可以将织梦CMS站点data目录移到上一级目录,或者改为其他名字 ...