网站首页
高端网站
  精品网站
  雅致网站
  专业仿站
定制版网站
建站常识
网站超市
联系方式
高端网站仿站推荐:
01
02
03
04
05
06
07
定制网站
公司网站
雅致网站
网站超市中心
您当前的位置: 主页 > 优化教程
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
发布时间:2021-07-22   文章编辑:兴网(www.1yc.cn) 阅读次数:
文章摘要:dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法: 补丁文件: /include/common.inc.php 漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSIO
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法:
 
补丁文件:/include/common.inc.php
 
漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入
 
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
 
1、搜索如下代码(68行):
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
 
2、替换 68 行代码,替换代码如下:
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
 
修改前请备份好文件,将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题
 

关键词:dedecms,SESSION,变量,覆盖,导致,SQL,注    标签:
    更多资讯请收藏关注 网站模板(www.1yc.cn)

织梦提示:Fatal error: Call to a member function GetInnerText我们做网站时经常能用到自定义模型,但是今天再在后台完成新建自定义模型之... 2021-07-30
用SQL语句获取Dedecms v5.7每个栏目中的文章数量下面是代码在前台页面中的显示效果: 共有会员:72 名 本月更新:72... 2021-08-09
织梦dedecms去除列表页推荐文章标题加粗标签的方法最近在用DEDECMS 织梦模板 搭架网站的时候,我碰到这种情况:就是... 2021-07-27
dedecmsdedecms 如何让友情链接的a标签显示title天在弄友情链接的时候 发现友情链接不会显示title 但是有时候换友链... 2021-08-09
织梦dede后台怎么查找文章内容关键词修改一下文件,就能实现织梦dede后台怎么查找文章内容关键词。 登录网... 2021-07-27
Dedecms栏目列表页面模板对seotitle的判断为了能够有更好的SEO效果,在制作 织梦模板 的过程中,我们要考虑的东... 2021-07-30
织梦织梦会员模板调用全站head.htm模板第一步:打开/include/common.func.php,该文件5... 2021-08-14
dedecmsdede如何让摘要只出现在文章的第一页其实在织梦dedecms前台显示的时候,所有对文章内容的解析都是通过 ... 2021-08-09
Dedecms如何修改程序文件达到让会员无法发布重复文章的方法小编经常遇到客户的论坛被刷会员或者被会员们大量的刷垃圾帖子,经常建站的... 2021-07-30
织梦织梦 插件plus文件调用头部尾部的方法织梦dedecms 插件plus文件调用头部尾部的方法 。 方法一: ... 2021-08-14
{dede:global.cfg_templets_skin/}、{dede:global.cfg_cmspath/}与{dede:global.cfg_cmspath/} 是dedecms... 2021-08-09
Dedecms后台验证码不显示的解决方法第一类:取消掉验证码,直接登录 第二类:修复验证码,恢复验证码功能,此... 2021-07-30
DedeCms会员审核后积分/金币才增加的方法要说当前最火的PHP建站系统,那当属DEDECMS了,想必大家应该知道... 2021-07-22
Dede5.5 调用当前内容页TAG标记的办法分享下调用当前内容页的TAG标记的办法。希望需要的朋友能够得到帮助! ... 2021-07-22
织梦dede短标题调用,dede简略标题调用在网站建设中,织梦dede通常都是调用标题出来,但有时候也会用到调用简... 2021-07-22
dedecms织梦模板 调用当前会员发布的文章总数 2021-07-22
dedecms内容页分页及分页显示数量控制的方法本文实例讲述了dedecms内容页分页及分页显示数量控制的方法。分享给... 2021-07-27
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法dedecms SESSION变量覆盖导致SQL注入common.in... 2021-07-22
Dedecms教程:更新的文章禁止标题一致网站文章的更新最重要的一点就是原创性了。很多时候dedecms(织梦)... 2021-08-14
更改织梦channel默认无子栏目调用同级栏目修改taglib库 channel.lib.php 109行 if($... 2021-07-27

线
咨询热线:
135-0038-3336
在线客服:
点击这里给我发消息
微信交流:
公司官网: www.1yc.cn