网站首页
高端网站
  精品网站
  雅致网站
  专业仿站
定制版网站
建站常识
网站超市
联系方式
高端网站仿站推荐:
01
02
03
04
05
06
07
定制网站
公司网站
雅致网站
网站超市中心
您当前的位置: 主页 > 优化教程
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
发布时间:2021-07-22   文章编辑:兴网(www.1yc.cn) 阅读次数:
文章摘要:dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法: 补丁文件: /include/common.inc.php 漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法:
 
补丁文件:/include/common.inc.php
 
漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入
 
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
 
1、搜索如下代码(68行):
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
 
2、替换 68 行代码,替换代码如下:
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
 
修改前请备份好文件,将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题
 

关键词:dedecms,SESSION,变量,覆盖,导致,SQL,注    标签:
    更多资讯请收藏关注 网站模板(www.1yc.cn)

织梦系统教程:删除系统自定义变量的方法有哪些?本文实例讲述了dedecms删除系统自定义变量的方法。分享给大家供大家... 2021-09-17
dedecms默认网站地图sitemap.html优化网站地图对于网站优化很重要,搜索引擎就是靠网站地图去收录网站页面,本文... 2021-09-15
织梦dedecms文章标题字数限制的解决方法织梦系统默认的文章标题字数限制是60,也就是30个汉字,不够用怎么办?... 2021-09-13
织梦dedecms添加和调用自定义字段的方法{dede:list pagesize=5 addfields=jia... 2021-09-10
dedecms织梦怎样设置不同的搜索页模板?织梦的搜索功能很好用,但有时候我们会需要一些特殊的搜索情况,例如我们网... 2021-09-09
dedecms教程:增加栏目图片banner或栏目图片备注:这个对utf8编码有效,gbk需要转码! 首先给每个子栏目增加一... 2021-09-06
网站设计中织梦全局变量调用标签大全织梦DeDeCms仿站过程中用到的全局变量调用标签及路径大全 ,对于菜... 2021-09-06
怎么删除dedecms中指定ip的评论?在网站中很多人都会启用织梦的留言本功能,所以在评论的时候就会有很多会员... 2021-08-19
DEDECMS怎么才能让搜索单字母(小于2个字节)的设置方法织梦dedecms也在不断的升级和更新,主要是因为之前的版本有太多的漏... 2021-08-14
Dedecms程序栏目内容过多如何让只显示一行呢很多开源程序在建立导航栏目的时候都是有限制的,一般的开源程序导航栏多都... 2021-08-14
织梦dede后台缩略图本地上传图片加水印dedecms织梦后台添加文章时,缩略图有本地上传和站内选择,就算你开... 2021-07-22
织梦dedecms副栏目名称和链接调用织梦副栏目名称和链接调用方法,打开 \include\extend.f... 2021-07-22
织梦如何用dede:type调用指定一个栏目的描述 2021-07-22
Dedecms:软件无法显示下载次数的解决 2021-07-22
DedeCMS模板列表文章无缩略图自动隐藏默认缩略图 2021-07-22
织梦购物车优化之自动更新数量更改订单号用dedecms做优化还是相当靠谱的,个人不喜欢MVC的设计,冗余代码... 2021-07-22
DEDECMS启用SSL和多站点支持HTTPS访问后缩略图无法自动生成的解决办法网站开启SSL使用HTTPS加密访问是目前的时势所趋,DEDE虽然也支... 2021-07-22
织梦DedeCMS用SQL清空所有文章且ID归1做新网站或老网站改版,经常会用到很多测试数据,到正式上线之前,如果这些... 2021-07-22
织梦dedecms自由列表freelist调用增加随机排序方式很多站长在用到织梦的自由列表功能时,会发现其排序方式比较单一,不能满足... 2021-07-22
dedecms栏目列表页文章标题设置推荐后加粗的取消方法在织梦dedecms中,文章标题加粗可以在文章发布的时候设置加粗,还有... 2021-07-27
dedecms标签:channel 频道调用标签标签名称:channel 标记简介:织梦常用标记,通常用于网站顶部以获... 2021-07-22
DEDECMS织梦采集时提示读取网址失败的原因与解决方法DEDECMS 设置采集规则时,保存测试时,提示读取测试网址失败,不能... 2021-07-27
DEDE织梦当前系统时间标签带时分:[field:pubdate function=GetDate... 2021-07-22
织梦验证码中的字母全改成数字方法平常登陆织梦后台验证码是有数字和字母组成的,有时字母经常看不清楚,AB... 2021-07-22
dedecms织梦如何防图片被盗链?首先这种方法适合于用Apache来搭建服务器的用户,如果你使用IIS来... 2021-07-22
织梦教程:教您如何更改DEDE管理员ID有时候在安装dedecms模板的时候,不记得修改默认的admin这个超... 2021-07-27
dedecms织梦获取当前文章页面栏目名称的方法 2021-07-27
dedecms教程:文章内页获取缩略图的调用标签文章内容页缩略图的调用,图片集内容页缩略图的调用,相信大家都想找这个,... 2021-07-22
织梦dedecms搜索指定栏目文档方法织梦默认代码有这样一个代码,方便快捷解决这样的难题。只需要在模板搜索代... 2021-07-22
DEDECMS织梦文章模板中相关文章调用标签代码 2021-07-22

线
咨询热线:
135-0038-3336
在线客服:
点击这里给我发消息
微信交流:
公司官网: www.1yc.cn