首页技术中心织梦技巧正文

织梦教程：阿里云提示plus/search.php注入漏洞修复方法

dedecms技术织梦技巧

2016-07-15 691

织梦教程：阿里云提示plus/search.php注入漏洞修复方法！

dedecms变量覆盖导致注入漏洞。

阿里云提示plus/search.php注入漏洞修复方法

存在漏洞的文件/plus/search.php,找到以下代码

//引入栏目缓存并看关键字是否有相关栏目内容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { $keywordn = str_replace($typename, ‘ ‘, $keyword); if($keyword != $keywordn) { $keyword = $keywordn; $typeid = $id; //对ID没做任何过滤 导致注入 break; } } } } $keyword = addslashes(cn_substr($keyword,30));

替换为以下代码

//引入栏目缓存并看关键字是否有相关栏目内容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { //$keywordn = str_replace($typename, ‘ ‘, $keyword); $keywordn = $keyword; if($keyword != $keywordn) { $keyword = HtmlReplace($keywordn);//防XSS $typeid = intval($id); //强制转换为数字型 break; } } } } $keyword = addslashes(cn_substr($keyword,30));

收藏 (0) 点赞 (0)

声明： 本站仅提供资源学习下载，资源费用仅为赞助站长的整理费，不代表资源自身价值也不包含任何服务。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。
本站提供的资源来自网络，版权争议与本站无关，所有内容及软件的文章仅限用于学习和研究目的。
如果您喜欢该程序，请支持正版软件，购买注册，得到更好的正版服务。侵删请致信E-mail：duhaomu@163.com

浩沐资源网织梦技巧织梦教程：阿里云提示plus/search.php注入漏洞修复方法 https://www.dhaomu.com/5746.html