|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
让好朋友来看看,嘿,看咱写的多棒,然后再在网上宣传一下。
DedeCMS投票模块有伴侣反应投票主题的选项常常被sql注入删除,经由iOS100常识库检查代码发明投票模块代码没有对sql参数停止转换,招致犯科份子sql注入。只需讲addslashes()改成mysql_real_escape_string()便可。
翻开/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `#@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");
修正为
$this->dsql->ExecuteNoneQuery("UPDATE `#@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");
注:
* addslashes() 是强行加\;
* mysql_real_escape_string() 会判别字符集,然而对PHP版本有请求;(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不思索毗连确当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注重:在PHP5.3中已弃用这类办法,不保举利用)
转载请注明出处:http://www.ios100.net/open/dedecms/15830.html
在学习HTML中我想边学边做是最有效的方式,当然这一方式对于学习PHP同样是最有效的。 |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-2-3 23:28:28
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
窥视卡
雷达卡
发表于 2015-3-31 04:46:45