注册 登录 欢迎您到模板精:织梦模板_dede模板_免费网站模板_网站源码下载

织梦教程_免费织梦模板下载_dede模板

该栏目分享织梦建站的基础知识,从织梦CMS的安装,到织梦标签的常规调用,以及织梦的常见问题答疑都有涉及。

当前位置:首页 > 织梦教程 >

阿里云提示织梦common.inc.php文件SESSION变量覆盖漏洞解决方法

免费网站模板 2020-09-17 10:40 织梦教程 评论
阿里云后台提示织梦common.inc.php文件SESSION变量覆盖漏洞会导致SQL注入,黑客可以直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,下面告诉大家怎么修复这个漏洞:
 

 
首先找到并打开/include/common.inc.php文件,在里面找到如下代码:
 
 if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
 
 
将其替换为如下代码:
 
 if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
 
 
修改完成后保存并替换原来的文件就可以了。这样阿里云后台就不会有提示了,网站也非常安全了。
 

本文标签:

版权说明:如非注明,本站文章均为 dede模板_织梦网站模板_网站源码下载_模板精 原创,转载请注明出处和附带本文链接

我猜你还喜欢这些...

栏目分类
最新评论
标签云
织梦后台修改 (2) 织梦二次开发 (4) 自适应模板 (21) 批量删除 (1) 织梦权限设置 (1) css (1) 自定义表单 (5) 织梦博客模板 (1) 网站地图 (1) 织梦SEO (2) 织梦缩略图 (1) 织梦站内优化 (1) 建站天数调用 (1) 导航栏 (1) 织梦备份还原 (1) 织梦安全 (1) 百度云限速破解 (1) 织梦介绍 (1) 织梦数据库 (1) 织梦函数 (1) 织梦文件说明 (1) 织梦标签改造 (1) 织梦搜索 (1) 织梦标签 (4) 织梦视频栏目 (1) 织梦插件 (1) 织梦tag (1) 韩顺平织梦二次开发 (6) 织梦技术 (2) 手机模板 (4) 网络营销 (1) 服务器 (2) 织梦基础 (4) Gzip压缩 (1) 栏目高亮 (1) 后盾46课 (3)

  • Powered By 模板精 ·Copyright · 2016-2023 | 织梦模板,dede模板,免费网站模板,网站源码下载,手机网站模板