织梦dedecms留言板注入漏洞修复方法

时间：2020-04-20 11:13:11

漏洞文件/plus/guestbook/edit.inc.php

这个是一个dedecms留言板注入漏洞，因为没有对$msg过滤，导致可以任意注入

处理方案如下：

打开/plus/guestbook/edit.inc.php，搜索代码：

```
else if($job=='editok')
```

修改为：

else if($job=='editok') { $remsg = trim($remsg); /* 验证$g_isadmin */ if($remsg!='')  { //管理员回复不过滤HTML if($g_isadmin) { $msg = "".$msg."
\n".$remsg;  //$remsg 
管理员回复： } else { $row = $dsql->GetOne("SELECT msg From `a15_guestbook` WHERE id='$id' ");  $oldmsg = "".addslashes($row['msg'])."
\n";  $remsg = trimMsg(cn_substrR($remsg, 1024), 1); $msg = $oldmsg.$remsg; } } /* */ /* 对$msg进行有效过滤 */ $msg = addslashes($msg); /* */ $dsql->ExecuteNoneQuery("UPDATE `a15_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");  ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS); exit(); }

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。本站信息来自网络收集整理，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容，请支持正版，购买注册，得到更好的正版服务。我们非常重视版权问题，如有侵权请邮件605605199@qq.com与我们联系处理。敬请谅解！

收藏点赞()