织梦DEDECMS提防投票模块SQL注入垃圾信息

由于织梦(dedecms)是开源法式毛病也是比力多的,可是由于毛病问题,可以说使用这款法式建站的站长朋友们无时不在担忧被挂马,攻击,挂黑链等。小编之前也写了一些关于织梦被入侵的一些提防文章总结。由于只要是被挂马了不只是挂在一个文件中,模板,后台等都市被挂,今天又遇到了一种挂马的要领,那就是通过SQL注入。

那么是怎样注入的呢?留心的站长们会发现在首页文章的最下面一样平常会有一个对文章举行投票的模块图标,当我们打开投票模块代码的时间发现投票模块代码没有对用户提交过来的SQL参数举行转义。这就导致了入侵者有机可乘了。作为一个法式员而言在开发的时间都市使用addslashes()函数对用户提交过来的数据举行转义操作,那么在这个模块代码中该怎样举行转义呢?下面小编就来详细的解说下要领吧。首先凭据路径找到/include/dedevote.class.php文件,使用一款编辑软件打开。查找以下代码:

$this->dsql->ExecuteNoneQuery(“UPDATE`xiuzhanwang_vote`SET totalcount='”.($this->VoteInfos[‘totalcount’]+1).”‘,votenote='”.addslashes($items).”‘ WHERE aid='”.$this->VoteID.”‘”);

替换为:

$this->dsql->ExecuteNoneQuery(“UPDATE`xiuzhanwang_vote`SET totalcount='”.($this->VoteInfos[‘totalcount’]+1).”‘,votenote='”.mysql_real_escape_string($items).”‘ WHERE aid='”.mysql_real_escape_string($this->VoteID).”‘”);

实在也就是addslashes()改为mysql_real_escape_string()对模块投票提交过来的数据举行转义后再向数据库提交,这样转义之后就会把例如逗号,双引号所有转义成单斜杠了。这样就可以有用的提防投票的时间被SQL注入的风险了。

相关阅读:
dedecms织梦平安教程专题
织梦dedecms文件夹目录权限设置DEDECMS平安防御挂马教程
织梦DEDECMS提防投票模块SQL注入垃圾信息
织梦DEDECMS dede_guestbook 留言表被SQL注入怎样快速删除

①本站所有织梦模板资源均来自用户分享和网络收集,如果侵犯了您的权益,请联系网站客服处理
②本站提供的织梦源码,均带数据及演示地址。可以在任一源码详情页查看演示地址。
③由于博主时间紧缺,所有模板源码不提供技术支持。仅部分收费原创源码提供售后
④如遇模板源码下载链接打不开或者有错误,请联系网站客服QQ指出纠正。
人民币与金币汇率为1比1,即1元=1金币
织梦楼 » 织梦DEDECMS提防投票模块SQL注入垃圾信息

发表评论

加入织梦楼永久VIP 海量资源免费下载

目前为止共有 1093 位会员加入