欢迎来到素材无忧网,按 + 收藏我们
登录 注册 退出 找回密码
素材无忧对所有站长和会员的道歉信 素材无忧发展辛酸史 会员权限丢失怎么办? 素材无忧正式更换为:素材无忧网 素材无忧也正式更换新域名:www.sucai51.cn
  主页 > cms教程 > 织梦学院 > 标签调用

阿里云提示plus/search.php注入漏洞修复方法

时间: 2018-12-05 08:31 阅读: 作者:素材无忧网

漏洞描述:
dedecms变量覆盖导致注入漏洞。
 阿里云提示plus/search.php注入漏洞修复方法(图1)
存在漏洞的文件/plus/search.php,找到以下代码
//引入栏目缓存并看关键字是否有相关栏目内容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { $keywordn = str_replace($typename, ‘ ‘, $keyword); if($keyword != $keywordn) { $keyword = $keywordn; $typeid = $id; //对ID没做任何过滤 导致注入 break; } } } } $keyword = addslashes(cn_substr($keyword,30));


替换为以下代码:
//引入栏目缓存并看关键字是否有相关栏目内容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { //$keywordn = str_replace($typename, ‘ ‘, $keyword); $keywordn = $keyword; if($keyword != $keywordn) { $keyword = HtmlReplace($keywordn);//防XSS $typeid = intval($id); //强制转换为数字型 break; } } } } $keyword = addslashes(cn_substr($keyword,30));

版权声明: 本站资源均来自互联网或会员发布,如果侵犯了您的权益请与我们联系,我们将在24小时内删除!谢谢!

转载请注明: 阿里云提示plus/search.php注入漏洞修复方法

上一篇:织梦首页调用指定一篇文章body内容的方法
下一篇:dedecms织梦select_soft_post.php任意文件上传漏洞解决方案
标签:  
相关文章
推荐文章
排行榜
模板推荐
热门标签

本站转载作品版权归原作者及来源网站所有,原创内容作品版权归作者所有,任何内容转载、商业用途等均须联系原作者并注明来源。相关侵权、举报、投诉及建议等,请发E-mail:379144319@qq.com

Copyright © 2002-2011 滕州素材无忧网络科技有限公司 版权所有nbsp; 鲁ICP备16003892号-6鲁公网安备37048102006483号