网站首页
高端网站
  精品网站
  雅致网站
  专业仿站
定制版网站
建站常识
网站超市
联系方式
高端网站仿站推荐:
01
02
03
04
05
06
07
定制网站
公司网站
雅致网站
网站超市中心
您当前的位置: 主页 > 优化教程
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
发布时间:2021-07-22   文章编辑:兴网(www.1yc.cn) 阅读次数:
文章摘要:dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法: 补丁文件: /include/common.inc.php 漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSIO
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法:
 
补丁文件:/include/common.inc.php
 
漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入
 
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
 
1、搜索如下代码(68行):
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
 
2、替换 68 行代码,替换代码如下:
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
 
修改前请备份好文件,将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题
 

关键词:dedecms,SESSION,变量,覆盖,导致,SQL,注    标签:
    更多资讯请收藏关注 网站模板(www.1yc.cn)

DedeCMS Error:Tag disabled:php错误的完整处理方法网站提示DedeCMS Error:Tag disabled:php ... 2021-08-14
DEDECMS网站文章列表页更新点击次数的问题完美解 2021-07-22
织梦CMS调用问答栏目文章到首页实现方法使用织梦CMS问答模块的站长还是挺多的,织梦问答系统高分悬赏问题,待解... 2021-07-27
织梦频道管理员信息管理员访问自定义表单的设置织梦默认情况下,自定义表单只能是系统管理员才能查看,频道管理员和信息管... 2021-07-22
DEDE织梦内容页调用当前文章栏目的seo标题、栏目关键字及描述 2021-07-22
织梦站点内容自动更新到新浪微博新浪微博是利用feed找到更新文章的。只要给他指定feed地址就可以成... 2021-07-27
dedecms 织梦5.7 图集实现分页功能第一步:在图集模板里加入分页代码:{dede:pagebreak/} ... 2021-07-27
织梦dedecms自由列表freelist调用增加随机排序方式很多站长在用到织梦的自由列表功能时,会发现其排序方式比较单一,不能满足... 2021-07-22
织梦dedecms文章页面显示同分类栏目下的其它文章在文章页面通过{dede:field.aid runphp=yes}{... 2021-07-30
DEDECMS织梦模板建站二级栏目title中/斜杠替换的代码DEDE二级栏目title中/(斜杠)替换的方法 1、交换顶级栏目和二... 2021-07-22
织梦(DedeCMS)系统列表页调用TAG标签并带上链接这里以默认模板为例,打开 /templets/default/list... 2021-07-22
织梦dedecms当前栏目调用上级栏目名称的办法问题:网站需要在栏目列表页调用上级栏目的名称,也就是在列表模板调用当前... 2021-07-27
dedecms的搜索页面支持dede标签的方法织梦的搜索页面支持dede标签的方法一 打开文件:include/ar... 2021-08-09
dedecms调用栏目名称与栏目链接地址的方法分析本文实例讲述了 织梦模板 调用栏目名称与栏目链接地址的方法 今天在做一... 2021-07-30
用SQL语句获取Dedecms v5.7每个栏目中的文章数量下面是代码在前台页面中的显示效果: 共有会员:72 名 本月更新:72... 2021-07-30
如何让Dedecms留言板自动邮件通知管理员网站中使用较广泛的一种与用户沟通、交流的方式。一般都是通过留言板,留言... 2021-07-30
dedecms模板中筛选功能列表是plus/list_静态化后打不开在企业模板增加了dedecms织梦筛选插件之后,发现打开列表之后遇到全... 2021-08-09
DEDECMS在内容页arclist标签里调用当前栏目ID的方法如果是在arclist 大家都知道是{dede:field.typei... 2021-07-22
DedeCMS 修改专题文章命名规则的方法专题文章在发布后,默认是 arc-加文章id.html 形式命名的 如... 2021-07-22
dede更换成kindeditor后栏目内容无法保存怎么办 2021-07-22

线
咨询热线:
135-0038-3336
在线客服:
点击这里给我发消息
微信交流:
公司官网: www.1yc.cn