织梦dedecms任意文件注入漏洞最新修复方法
2019-9-27 知你 网站教程
织梦(SQL)注入漏洞最新修复方法,目前版本更新最新,删除会员板块的,只需要修复以下文件即可。
一、/include/filter.inc.php文件,搜索(大概在46行的样子)
return $svar;
修改为
return addslashes($svar);
二、/plus/guestbook/edit.inc.php文件,搜索(大概在55行的样子)
$dsql->ExecuteNoneQuery("UPDATE `dede_guestbook` SET `msg`='$msg',
`posttime`='".time()."' WHERE id='$id' ");
修改为
$msg = addslashes($msg); $dsql->ExecuteNoneQuery("UPDATE `dede_guestbook`
SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");;
三、/plus/search.php文件,搜索(大概在109行的样子)
$keyword = addslashes(cn_substr($keyword,30));
修改为
$typeid = intval($typeid); $keyword = addslashes(cn_substr($keyword,30));
四、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
修改为
if
(preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i',
trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); }
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;;
漏洞修复了,还是有很多文件是存在bug的,不需要用到的话是可以直接删除的!下一次做一个简单的总结!织梦可删除的文件!
发表评论:
昵称
邮件地址 (选填)
个人主页 (选填)