/plus/guestbook/edit.inc.php 这个是一个dedecms留言板注入漏洞，因为没有对$msg过滤，导致可以任意注入，处理方案如下： 编辑edit.inc.php找到以下代码，大约在第55行、56行： $dsql-ExecuteNoneQue […]

/plus/guestbook/edit.inc.php  这个是一个dedecms留言板注入漏洞，因为没有对$msg过滤，导致可以任意注入，处理方案如下：

编辑edit.inc.php找到以下代码，大约在第55行、56行：

$dsql->ExecuteNoneQuery("UPDATE `dede_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);

在这两行中间加入一行以下代码，保存后即可。

$msg  = addslashes($msg); $dsql->ExecuteNoneQuery("UPDATE `dede_guestbook`  SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");

说点什么吧

• 全部评论（0）
• 最新 最早

还没有评论，快来抢沙发吧！