DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除,经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要讲addslashes()改为mysql_real_escape_string()即可。
打开/include/dedevote.class.php文件,查 找$this-dsql-ExecuteNoneQuery("UPDATE 网站后台 开发 `dede_vote` SET totalcount='".($this-VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this-VoteID."'");
修改为
$this-dsql-ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this-VoteInfos['晋城网站建设公司totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($东莞网站建设公司网站建设服务this-VoteID)."'");
注:
* addslashes() 是强行加\;
* mysql_real_escape_string()会判断字符集,但是对PHP版本有要求;(PHP 4 = 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 = 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)
转载请注明出处:http://www.ios100.net/open/dedecms/15830.html
南京牧狼文化传媒有限公司简介:
牧狼传媒,牧者之心,狼者之性,以牧之谦卑宽容之心待人,以狼之团结无畏之性做事!
公司注册资金100万,主营众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放以及电商营销推广全案等相关业务,致力于为客户提供更有价值的服务,创造让用户满意的效果!
为百度官方及其大客户、苏宁易购、金山WPS秀堂、美的、创维家电、新东方在线、伊莱克斯、宝丽莱等国内国外知名品牌服务过,服务经验丰富!同时,公司也是南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位,可以为您提供更好的服务!
主营项目:众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放、竞价托管、网站优化、电商代运营等
合作客户:百度、苏宁易购、饿了么、美的、创维家电、新东方在线、宝丽莱、金山WPS秀堂、伊莱克斯
资质荣誉:百度商业服务市场2017年度最佳图片服务商、南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位、八戒通TOP服务商、"易拍即合杯"H5创意大赛"三等奖"。