注册 登录 欢迎您到模板精:织梦模板_dede模板_免费网站模板_网站源码下载

织梦教程_免费织梦模板下载_dede模板

该栏目分享织梦建站的基础知识,从织梦CMS的安装,到织梦标签的常规调用,以及织梦的常见问题答疑都有涉及。

当前位置:首页 > 织梦教程 >

dedecms common.inc.php SESSION变量覆盖导致SQL注入

免费网站模板 2020-09-16 10:34 织梦教程 评论
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法:
 
补丁文件:/include/common.inc.php
 
漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入
 
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
 
1、搜索如下代码(68行):
 
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
2、替换 68 行代码,替换代码如下:
 
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
修改前请备份好文件,将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题。
 

本文标签:

版权说明:如非注明,本站文章均为 dede模板_织梦网站模板_网站源码下载_模板精 原创,转载请注明出处和附带本文链接

我猜你还喜欢这些...

栏目分类
最新评论
标签云
织梦后台修改 (2) 织梦二次开发 (4) 自适应模板 (21) 批量删除 (1) 织梦权限设置 (1) css (1) 自定义表单 (5) 织梦博客模板 (1) 网站地图 (1) 织梦SEO (2) 织梦缩略图 (1) 织梦站内优化 (1) 建站天数调用 (1) 导航栏 (1) 织梦备份还原 (1) 织梦安全 (1) 百度云限速破解 (1) 织梦介绍 (1) 织梦数据库 (1) 织梦函数 (1) 织梦文件说明 (1) 织梦标签改造 (1) 织梦搜索 (1) 织梦标签 (4) 织梦视频栏目 (1) 织梦插件 (1) 织梦tag (1) 韩顺平织梦二次开发 (6) 织梦技术 (2) 手机模板 (4) 网络营销 (1) 服务器 (2) 织梦基础 (4) Gzip压缩 (1) 栏目高亮 (1) 后盾46课 (3)

  • Powered By 模板精 ·Copyright · 2016-2023 | 织梦模板,dede模板,免费网站模板,网站源码下载,手机网站模板