织梦教程：阿里云提示plus/search.php注入漏洞修复方法

技术未分类

2016-07-15 0 1,892

：提示plus/search.php注入漏洞修复方法！

dedecms变量覆盖导致注入漏洞。

阿里云提示plus/search.php注入漏洞修复方法

存在漏洞的文件/plus/search.php,找到以下代码

//引入栏目缓存并看关键字是否有相关栏目内容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { $keywordn = str_replace($typename, ‘ ‘, $keyword); if($keyword != $keywordn) { $keyword = $keywordn; $typeid = $id; //对ID没做任何过滤 导致注入 break; } } } } $keyword = addslashes(cn_substr($keyword,30));

替换为以下代码

//引入栏目缓存并看关键字是否有相关栏目内容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { //$keywordn = str_replace($typename, ‘ ‘, $keyword); $keywordn = $keyword; if($keyword != $keywordn) { $keyword = HtmlReplace($keywordn);//防XSS $typeid = intval($id); //强制转换为数字型 break; } } } } $keyword = addslashes(cn_substr($keyword,30));

收藏 (0) 打赏

感谢您的支持，我会继续努力的!

打开微信/支付宝扫一扫，即可进行扫码打赏哦，分享从这里开始，精彩与您同在

声明： 本站仅提供资源学习下载，资源费用仅为赞助站长的整理费，不代表资源自身价值也不包含任何服务。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。
本站提供的资源来自网络，版权争议与本站无关，所有内容及软件的文章仅限用于学习和研究目的。
如果您喜欢该程序，请支持正版软件，购买注册，得到更好的正版服务。侵删请致信E-mail：duhaomu@163.com

浩沐资源网未分类织梦教程：阿里云提示plus/search.php注入漏洞修复方法 https://www.haomu.top/32643.html