DEDESESSION变量覆盖致使SQL注入common.inc.php的问题

来源:www.yixingjindian.com       编辑:admin
2021-09-07 00:07
织梦CMS SESSION变量覆盖致使SQL注入common.inc.php的解决方案:补丁文件:/include/common.inc.php漏洞描述:织梦CMS的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获得值作为$query带入SQL查看,这个漏洞的借助首要条件是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入织梦CMS SESSION变量覆盖致使SQL注入common.inc.php的解决方案1、搜索如下代码(68行):if>0 && preg_match#',$svar) )2、替换 68 行代码,替换代码如下:if>0 && preg_match#',$svar) )修改前请备份好文件,将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题。
广告位810*200
相关阅读
织梦DEDE免登录自动登录达成办法

织梦DEDE免登录自动登录达成办法

1...

2021-09-06
织梦CMS新建php页面且模板支持读取标签

织梦CMS新建php页面且模板支持读取标签

在用织梦CMS网站建设时,想自己打造几个php页面,并且还想让其支持标签。该如何做呢?...

2021-09-06
织梦CMSV5.7 编辑器默认回车键“换行”改为“换段落”的办法

织梦CMSV5.7 编辑器默认回车键“换行”改

织梦CMS V5.7 SP1的Ckeditor编辑器有的改动,默觉得回车键换行、Shift+Enter换段落,但各位站长朋友...

2021-09-06
织梦CMS 添加新变量和删除办法解析

织梦CMS 添加新变量和删除办法解析

DEDE内容管理软件(织梦CMS),是一个集内容发布、编辑、管理检索等于一体的网站管理软件(...

2021-09-06
织梦DEDE用百度编辑ueditor代码高亮

织梦DEDE用百度编辑ueditor代码高亮

在百度编辑器ueditor中添加代码显示是高亮的,但浏览文件的是代码却没高亮显示织梦CMS整理百...

2021-09-06