dedecms安全漏洞之/plus/guestbook/edit.inc.php如何解决?

最新推荐文章于 2022-09-06 17:46:14 发布
最新推荐文章于 2022-09-06 17:46:14 发布
阅读量1.6k 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31763129/article/details/80092407
版权

打开 \plus\guestbook\edit.inc.php,搜索else if($job=='editok') 并修改为以下代码:


else if($job=='editok') { $remsg = trim($remsg); /* 验证$g_isadmin */

    if($remsg!='') { //管理员回复不过滤HTML

        if($g_isadmin) { $msg = "<div class=\\'rebox\\'>".$msg."</div>\n".$remsg; //$remsg <br><font color=red>管理员回复:</font>

} else { $row = $dsql->GetOne("SELECT msg From `a15_guestbook` WHERE id='$id' "); $oldmsg = "<div class=\\'rebox\\'>".addslashes($row['msg'])."</div>\n"; $remsg = trimMsg(cn_substrR($remsg, 1024), 1); $msg = $oldmsg.$remsg; } } /* */

    /* 对$msg进行有效过滤 */ $msg = addslashes($msg); /* */ $dsql->ExecuteNoneQuery("UPDATE `a15_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' "); ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS); exit(); }


保存后上传。

特日根1602813998
关注
详细的DedeCMS(织梦)目录权限安全设置教程
刘杨造梦的博客
05-31 773
鉴于我们不少客户都是让我们用织梦进行模板建站,so,我们在日常的操作过程中根据网络中已有的教程资料总结了一套安全防护的详细教程,大家有好的可以评论补充 / 【站点上级目录】 假如要使用后台的目录相关的功能需求有列出目录的权限 //0444 / 【站点根目录】 需求执行和读取权限 假如要在根目录下面创建文件和目录的话需求有写入权限 //0755 /install 【安装程序目录】 需求有执行和读取权限 //建议安装完成以后删除或者改名 //0555 /dede 【后台程序目录】 需求有执行权.
织梦dedecms漏洞修复大全(5.7起)
东北狼仙
10-22 592
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题. 好,我们来一个一个修复。修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记得先备份),这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码,或者修改过这几个文件,然后直接修改的部分被替换掉,那之前就白改了,找起来也非常的麻烦。如果你搜索不到,...
dedecms \plus\guestbook.php SQL Injection Vul By \plus\guestbook\edit.inc.php
weixin_33840661的博客
05-22 646
catalog 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考   1. 漏洞描述 注射漏洞成功需要条件如下 1. php magic_quotes_gpc=off 2. 漏洞文件存在: plus/guestbook.php 3. 在数据库中: dede_guestbook也需要存在 Releva...
织梦guestbook.php漏洞,DEDE:织梦漏洞修复(含任意文件上传漏洞与注入漏洞)
weixin_39796238的博客
03-12 440
这几天阿里频繁提醒网站有漏洞,搞得我不胜其烦,好吧,我修复还不行吗?搜索之后整理如下,仅供参考(5.7以上版本适用):任意文件上传漏洞修复一、/include/dialog/select_soft_post.php文件,搜索(大概在72行左右)$fullfilename = $cfg_basedir.$activepath.'/'.$filename;修改为if (preg_match('#\.(...
dede /plus/guestbook.php,DEDE织梦CMS首页调用留言板代码
weixin_39732027的博客
04-08 380
有不少朋友会用到织梦的留言簿模块插件,想把留言本里面的一些内容在首页或其他页面上调用显示出来,具体调用方法和标签如下:***种方法:用feedback标签直接调用。代码如下:{dede:feedbackrow='10'titlelen='30'infolen='60'}[field:useamefunction="(@me=='guest'?'游客':@me)"/]评论[fie...
dede /plus/guestbook.php,Dedecms首页和内容页添加留言板的方法
weixin_35911221的博客
04-08 787
dedecms本身自带了留言板功能,我们只需要安装留言板插件即可使用该功能了,然而这个功能却是在单独的一个页面中,使用起来比较不方便,很多朋友希望在首页、内容页的内面中也可以添加调用留言板,那么本文将告诉你如何在首页和内容页添加留言板的功能。第一步当然是要先安装留言板的插件了,在后台的【模块-模块管理中】,请自行安装,然后我们需要找到以下2个文件,他们是dedecms留言板的源文件:/plus/g...
dedecms织梦留言板edit.inc.php注入漏洞修复
09-06 248
dedecms注入漏洞,路径:/plus/guestbook/edit.inc.phpdedecms留言板edit.inc.php注入漏洞修复方法。打开edit.inc.php文件。在这两行中间加入一行以下代码。
dedecms织梦安全设置漏洞修复大全
sqk210的博客
10-26 1451
  删除member special install 打开plus文件夹除了下面几个文件 其他删除 Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留 Diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,...
DeDeCMS 漏洞修改汇总
qq_34862577的博客
02-28 3648
1、标题: dedecms模版SQL注入漏洞披露时间: 1970-01-01 08:00:00简介:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。解决方案:方案一:使用云盾自研补丁进行一键修复;方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。【注意:该补丁为云...
漏洞 立即留言_dedeCMS留言板注入漏洞的修复方法
weixin_39642990的博客
12-19 703
最近公司的网站要开设一个留言板功能,于是便用dedecms做了一个留言板页面,可一上线,就收到阿里云后台的信息提示网站存在一些漏洞需要及时处理,进入阿里云后台,查看了一番,发现漏洞提示:留言板注入漏洞;漏洞描述:dedecms留言板注入漏洞。如下图所示:从阿里云提示的信息可知,阿里云云安全中心给出的修复方案为:方案一:使用云盾自研补丁进行一键修复;方案二:更新该软件到官方最新版本或寻求该软件提供商...
guestbook.php注入,php防注入留言板(simple)
weixin_27010489的博客
03-09 1023
新手学php,试手案例便是留言板。以前未连接数据库时,我是直接将用户输入的留言写入到一个txt,然后再从txt读取显示(~.~别鄙视)。最近学习了php访问MySQL数据库的一些知识,重写了一下留言板,功能比较简单,当学习记录。1.首先是提交留言的表单guessbook.php,提交至post.php。用户名邮箱2.数据库的连接config.php$con = mysql_connect("loc...
织梦guestbook.php漏洞,织梦dedecms漏洞大全 | 志博日记
weixin_42512249的博客
03-12 898
1.dedecms文件任意上传漏洞漏洞一文件位置:/dede/media_add.php找到64行$filename = $savePath."/".$filename;改成$filename = $savePath."/".$filename; if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA...
dedecms5.7最新sql注射漏洞利用 guestbook.php
收集盒 Book box
11-13 4620
影响版本为5.7 漏洞文件edit.inc.php具体代码: < ?php if(!defined('DEDEINC')) exit('Request Error!'); if(!empty($_COOKIE['GUEST_BOOK_POS'])) $GUEST_BOOK_POS = $_COOKIE['GUEST_BOOK_POS']; else $GUEST
织梦guestbook.php漏洞,织梦DEDECMS任意文件上传漏洞与注入漏洞修复方法
weixin_29686935的博客
03-12 761
修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php;SQL注入漏洞包含5个文件/include/filter.inc.php /member/mtypes.php /member/pm.php /plus/guestbook/edit.inc.php /plus/search.php。修复方法都是...
dedecms注入漏洞(edit.inc.php
L_melody的博客
01-19 2678
文件:edit.inc.php 路径:.../plus/guestbook/edit.inc.php 解决方案: 查找文件位置:/plus/guestbook/edit.inc.php ,大概在55行左右,找到: $dsql->ExecuteNoneQuery("UPDATE `dede_guestbook` SET `msg`='$msg', `posttime`='".tim...
织梦dedecms漏洞修复记
Aluo 点滴
08-31 8431
自己用dedecms在阿里云上搭建了套网站,之后阿里云漏洞提示,织梦有多个漏洞需要我修复,发我邮箱,今天整理了下,我遇到的漏洞,及我修复的过程。 漏洞描述:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。 解决办法:打开根目录下/member/soft_add
织梦5.7注入加上传漏洞
fengling132的专栏
05-09 1144
会员中心查询会员信息语句过滤不严,导致url可提交注入参数; 会员中心有上传动作过滤不严,导致上传漏洞 详细说明: ①注入漏洞。 这站 http://www.webshell.cc/ 首先访问“/data/admin/ver.txt”页面获取系统最后升级时间, 然后访问“/member/ajax_membergroup.php?action=post&membe
[通杀]dedecms plus/search.php 注入漏洞利用EXP
p656456564545的专栏
11-14 5794
分类:安全 | 2013-01-23 | 撸过6,810次 4人扯谈 哎。没意识,我一个月前就发现了这个漏洞,一直也没去黑站 放那 现在狗卵的什么 知道创宇 发出来了。郁闷。。可惜了我的洞辛苦看了2天的dedecms漏洞就这样没了。 既然已经发出来了,我就把我自己搞的exp发下吧。。唉。 我一般是这样测试的: 提交 webshell.cc/plus/search.php?ke
图书管理系统开发:MyEclipse中的POJO与.hbm.xml映射
在开发过程中,每个数据库表对应一个POJO类(如`Guestbook.java`),每个表有其映射文件(如`Guestbook.hbm.xml`),同时还需要一个基本的Hibernate配置文件`hibernate.xml`,以及可能存在的`SessionFactory`帮助类...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值