注册 登录 欢迎您到模板精:织梦模板_dede模板_免费网站模板_网站源码下载

织梦教程_免费织梦模板下载_dede模板

该栏目分享织梦建站的基础知识,从织梦CMS的安装,到织梦标签的常规调用,以及织梦的常见问题答疑都有涉及。

当前位置:首页 > 织梦教程 >

阿里云提示plus/search.php注入漏洞修复方法

免费网站模板 2020-09-17 10:42 织梦教程 评论
漏洞描述:
dedecms变量覆盖导致注入漏洞。
 
 阿里云提示plus/search.php注入漏洞修复方法
 
存在漏洞的文件/plus/search.php,找到以下代码
//引入栏目缓存并看关键字是否有相关栏目内容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { $keywordn = str_replace($typename, ‘ ‘, $keyword); if($keyword != $keywordn) { $keyword = $keywordn; $typeid = $id; //对ID没做任何过滤 导致注入 break; } } } } $keyword = addslashes(cn_substr($keyword,30));
 
 
替换为以下代码:
//引入栏目缓存并看关键字是否有相关栏目内容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { //$keywordn = str_replace($typename, ‘ ‘, $keyword); $keywordn = $keyword; if($keyword != $keywordn) { $keyword = HtmlReplace($keywordn);//防XSS $typeid = intval($id); //强制转换为数字型 break; } } } } $keyword = addslashes(cn_substr($keyword,30));
 

本文标签:

版权说明:如非注明,本站文章均为 dede模板_织梦网站模板_网站源码下载_模板精 原创,转载请注明出处和附带本文链接

我猜你还喜欢这些...

栏目分类
最新评论
标签云
织梦后台修改 (2) 织梦二次开发 (4) 自适应模板 (21) 批量删除 (1) 织梦权限设置 (1) css (1) 自定义表单 (5) 织梦博客模板 (1) 网站地图 (1) 织梦SEO (2) 织梦缩略图 (1) 织梦站内优化 (1) 建站天数调用 (1) 导航栏 (1) 织梦备份还原 (1) 织梦安全 (1) 百度云限速破解 (1) 织梦介绍 (1) 织梦数据库 (1) 织梦函数 (1) 织梦文件说明 (1) 织梦标签改造 (1) 织梦搜索 (1) 织梦标签 (4) 织梦视频栏目 (1) 织梦插件 (1) 织梦tag (1) 韩顺平织梦二次开发 (6) 织梦技术 (2) 手机模板 (4) 网络营销 (1) 服务器 (2) 织梦基础 (4) Gzip压缩 (1) 栏目高亮 (1) 后盾46课 (3)

  • Powered By 模板精 ·Copyright · 2016-2023 | 织梦模板,dede模板,免费网站模板,网站源码下载,手机网站模板