织梦dedecms留言板注入漏洞edit.inc.php修复方法-分享吧

/plus/guestbook/edit.inc.php 这个是一个dedecms留言板注入漏洞，因为没有对$msg过滤，导致可以任意注入，处理方案如下：
打开/plus/guestbook/edit.inc.php，搜索代码：
else if($job=='editok')
修改为：

  else if($job=='editok') { $remsg = trim($remsg); /* 验证$g_isadmin */ if($remsg!='')  { //管理员回复不过滤HTML if($g_isadmin) { $msg = "<div class=\'rebox\'>".$msg."</div>n".$remsg;  //$remsg <br><font color=red>管理员回复：</font> } else { $row = $dsql->GetOne("SELECT msg From `a15_guestbook` WHERE id='$id' ");  $oldmsg = "<div class=\'rebox\'>".addslashes($row['msg'])."</div>n";  $remsg = trimMsg(cn_substrR($remsg, 1024), 1); $msg = $oldmsg.$remsg; } } /* */ /* 对$msg进行有效过滤 */ $msg = addslashes($msg); /* */ $dsql->ExecuteNoneQuery("UPDATE `a15_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS); exit(); }

文章版权声明 1、本站所有源码，软件均来自于网络，只作为学习交流之用，如有侵权，请联系
2、如有使用本站源码作为商用的，自行承担法律责任，本站建议如商用请使用原版。
3、本站不承诺所有源码为最新版，也不会承诺永久更新，永久技术支持之类。
4、本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
5、本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。
6、本站通用赞助货币为分享币FXB，所标价格并非源码价格，而且是为托管代码服务器提供赞助，请知悉！

THE END

织梦建站

织梦dedecms留言板注入漏洞edit.inc.php修复方法

请登录后发表评论