selectsoftpost.php,include/dialog/select_soft_post.php · jake/alazixun - Gitee.com

于 2021-03-27 08:13:55 发布
阅读量388 收藏
点赞数
文章标签: selectsoftpost.php

/**

* 软件发送

*

* @version $Id: select_soft_post.php 1 9:43 2010年7月8日Z tianya $

* @package DedeCMS.Dialog

* @copyright Copyright (c) 2007 - 2010, DesDev, Inc.

* @license http://help.dedecms.com/usersguide/license.html

* @link http://www.dedecms.com

*/

if(!isset($cfg_basedir))

{

include_once(dirname(__FILE__).'/config.php');

}

if(empty($uploadfile)) $uploadfile = '';

if(empty($uploadmbtype)) $uploadmbtype = '软件类型';

if(empty($bkurl)) $bkurl = 'select_soft.php';

$CKEditorFuncNum = (isset($CKEditorFuncNum))? $CKEditorFuncNum : 1;

$newname = ( empty($newname) ? '' : preg_replace("#[\\ \"\*\?\t\r\n<>':\/|]#", "", $newname) );

if(!is_uploaded_file($uploadfile))

{

ShowMsg("你没有选择上传的文件或选择的文件大小超出限制!", "-1");

exit();

}

//软件类型所有支持的附件

$cfg_softtype = $cfg_softtype;

$cfg_softtype = str_replace('||', '|', $cfg_softtype);

$uploadfile_name = trim(preg_replace("#[ \r\n\t\*\%\\\/\?>

if(!preg_match("#\.(".$cfg_softtype.")#i", $uploadfile_name))

{

ShowMsg("你所上传的{$uploadmbtype}不在许可列表,请更改系统对扩展名限定的配置!","");

exit();

}

$nowtme = time();

if($activepath==$cfg_soft_dir)

{

$newdir = MyDate($cfg_addon_savetype, $nowtme);

$activepath = $activepath.'/'.$newdir;

if(!is_dir($cfg_basedir.$activepath))

{

MkdirAll($cfg_basedir.$activepath,$cfg_dir_purview);

CloseFtp();

}

}

//文件名(前为手工指定, 后者自动处理)

if(!empty($newname))

{

$filename = $newname;

if(!preg_match("#\.#", $filename)) $fs = explode('.', $uploadfile_name);

else $fs = explode('.', $filename);

if(preg_match("#".$cfg_not_allowall."#", $fs[count($fs)-1]))

{

ShowMsg("你指定的文件名被系统禁止!",'javascript:;');

exit();

}

if(!preg_match("#\.#", $filename)) $filename = $filename.'.'.$fs[count($fs)-1];

}else{

$filename = $cuserLogin->getUserID().'-'.dd2char(MyDate('ymdHis',$nowtme));

$fs = explode('.', $uploadfile_name);

if(preg_match("#".$cfg_not_allowall."#", $fs[count($fs)-1]))

{

ShowMsg("你上传了某些可能存在不安全因素的文件,系统拒绝操作!",'javascript:;');

exit();

}

$filename = $filename.'.'.$fs[count($fs)-1];

}

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;

$fullfileurl = $activepath.'/'.$filename;

move_uploaded_file($uploadfile,$fullfilename) or die("上传文件到 $fullfilename 失败!");

@unlink($uploadfile);

if($cfg_remote_site=='Y' && $remoteuploads == 1)

{

//分析远程文件路径

$remotefile = str_replace(DEDEROOT, '', $fullfilename);

$localfile = '../..'.$remotefile;

//创建远程文件夹

$remotedir = preg_replace('/[^\/]*\.('.$cfg_softtype.')/', '', $remotefile);

$ftp->rmkdir($remotedir);

$ftp->upload($localfile, $remotefile);

}

if($uploadfile_type == 'application/x-shockwave-flash')

{

$mediatype=2;

}

else if(preg_match('#image#i', $uploadfile_type))

{

$mediatype=1;

}

else if(preg_match('#audio|media|video#i', $uploadfile_type))

{

$mediatype=3;

}

else

{

$mediatype=4;

}

$inquery = "INSERT INTO `#@__uploads`(arcid,title,url,mediatype,width,height,playtime,filesize,uptime,mid)

VALUES ('0','$filename','$fullfileurl','$mediatype','0','0','0','{$uploadfile_size}','{$nowtme}','".$cuserLogin->getUserID()."'); ";

$dsql->ExecuteNoneQuery($inquery);

$fid = $dsql->GetLastID();

AddMyAddon($fid, $fullfileurl);

ShowMsg("成功上传文件!",$bkurl."?comeback=".urlencode($filename)."&f=$f&CKEditorFuncNum=$CKEditorFuncNum&activepath=".urlencode($activepath)."&d=".time());

exit();

一键复制

编辑

Web IDE

原始数据

按行查看

历史

抓猫去搬砖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
msg_www.//2020msg.com_Free!_msg.marriott.com_Vc_
10-01
C ++ dynamically assigns values to the form. The code is free and open source download. Enter text in the pop-up dialog box. After clicking the application
Dedecms include\dialog\select_soft_post.php Upload Any Files To The Specified Directory Via Variable...
weixin_30628077的博客
12-15 282
目录 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考 1. 漏洞描述 综合来说,这个漏洞的根源是"register_globals = on",在这个漏洞的前提下,攻击者可以发动这样的攻击向量 1. 当前网站的"register_globals = on"已开启 2. 在代码中没有显式声明、初始化的变...
dedecms任意文件上传漏洞(select_soft_post.php
L_melody的博客
08-14 3844
文件:select_soft_post.php 路径:/include/dialog/select_soft_post.php 原因:在获取完整文件名时,没有将会对服务器造成危害的文件格式过滤掉,因此需要手动添加代码过滤 解决方法: 1、在 select_soft_post.php 中找到如下代码: $fullfilename = $cfg_basedir.$activepath.'...
select_soft_post.php 漏洞 修复,dedecms select_soft_post.php任意文件上传漏洞修复
weixin_29865939的博客
03-24 164
漏洞公告:dedecms任意文件上传漏洞简介:dedecms变量覆盖漏洞导致任意文件上传。修复方案:方案一:使用云盾自研补丁进行一键修复;方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存...
织梦DedeCMS select_soft_post.php任意文件上传漏洞解决办法
qq_31763129的博客
04-26 6611
最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞,引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉,所以我们需要手动添加代码过滤,具体操作方法如下: 我们找到并打开/include/dialog/select_...
SingleDoc-calls-Modal-Dialog.rar_GDI/图象编程_Visual_C++_
08-11
该程序为单文档调用模态对话框并根据设定值平移图像
TimePickerDialogTest.rar_Linux/Unix编程_Unix_Linux_
08-11
Test Time Picker Dialog for Linux.
MFC-DLL-SHOW-COLOR-DIALOG.rar_color dialog _dll dialog_mfc dll_m
09-23
调用常规MFC的DLL,制作一个显示颜色的对话框
MFCdialog.rar_MFCDialog_子对话框_对话框 传递
09-22
通过全局变量,实现了主对话框和子对话框的数据传递
node-v0.8.10-sunos-x64.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
【课程设计】实现的金融风控贷款违约预测python源码.zip
05-16
【课程设计】实现的金融风控贷款违约预测python源码.zip
node-v0.10.27-x86.msi
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
课设毕设基于SSM的高校二手交易平台-LW+PPT+源码可运行.zip
05-16
课设毕设基于SSM的高校二手交易平台--LW+PPT+源码可运行
c++,冒险游戏,可供学习
05-16
冒险游戏,可供学习
node-v0.11.7-sunos-x64.tar.gz
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v0.8.6-sunos-x64.tar.gz
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于C语言的天气客户端的实现.zip
05-16
基于C语言的天气客户端的实现.zip
internet_download_manager_6.42.3.zip
05-16
internet_download_manager_6.42.3
el.querySelector('.el-dialog__header')
07-28
引用\[1\]:在main.js中导入了一个名为directives.js的文件,并在使用el-dialog的地方加入了v-dialogDrag指令。这个指令的作用是使el-dialog可以被拖拽。\[1\]引用\[2\]:在代码中使用了一个名为xx-dialog的组件,并给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值