您现在的位置是：首页 > cms教程 > DedeCMS教程DedeCMS教程

解决dede织梦投票模块漏洞的方法

怀蕊2024-02-18DedeCMS教程已有人查阅

导读有站长反映织梦投票模块的投票主题选项经常被sql注入删除，经过查看代码发现投票模块代码没有对sql参数进行转换，导致被黑客sql注入。

有站长反映织梦投票模块的投票主题选项经常被sql注入删除，经过查看代码发现投票模块代码没有对sql参数进行转换，导致被黑客sql注入。
解决方法如下：
只要把 addslashes() 改为 mysql_real_escape_string() 即可。
打开/include/dedevote.class.php文件
查找

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.($this->VoteInfos['totalcount']+1).”‘,votenote=’”.addslashes($items).”‘ WHERE aid=’”.$this->VoteID.”‘”);

修改为

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.(mysql_real_escape_string($this->VoteInfos['totalcount'])+1).”‘,votenote=’”.mysql_real_escape_string($items).”‘ WHERE aid=’”.mysql_real_escape_string($this->VoteID).”‘”);

注：
* addslashes() 是强行加\；
* mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

本文标签：

很赞哦！ ()

上一篇：dede织梦任意位置调用自定义字段的方法

下一篇：织梦dedecms实用技巧安全措施教程

图文教程

相关源码

(自适应)科技产品设备技术作品pbootcms网站模板带下载和招聘基于PbootCMS内核开发的高端科技企业模板，采用响应式布局技术，适配各类移动终端设备。模板设计聚焦科技行业特性，通过模块化结构实现企业形象展示、技术成果发布与人才招募等核心需求查看源码
(PC+WAP)pbootcms模板黑色门窗定制五金建材网站下载为门窗定制与五金建材企业设计的网站解决方案，采用PbootCMS开发，兼具专业展示与营销功能。黑色系设计突显工业质感，响应式布局确保在手机、平板等设备上的浏览体验。通过简单的内容替换，也可适用于建材贸易、家具定制等相关行业。查看源码
(自适应)电梯扶梯升降梯行业pbootcms企业网站模板(自适应手机版)响应式电梯扶梯类pbootcms模板电梯生产企业绿色企业网站源码下载PbootCMS内核开发的网站模板，该模板适用于电梯、扶梯类等企业，查看源码
(PC+WAP)绿色环保建筑设备通用行业pbootcms源码下载通过模块调整可适配园林景观、装配式建筑、绿色装修等生态建设相关领域。预制绿色建材展示、能耗模拟等专业模块，集成项目案例、环保工艺等建筑行业特色内容结构，测试数据包含LEED认证体系查看源码
pbootcms模板(PC+WAP)微信小程序开发公司网站本模板为微信小程序开发代理、软件开发公司等企业设计，基于PbootCMS内核开发，支持PC+WAP双端响应式布局，数据实时同步，适用于多行业快速建站。查看源码
(自适应)互联网建站网络公司个人工作室网站模板基于PbootCMS内核开发，围绕「技术方案展示」「成功案例库」「服务流程说明」三大模块构建，支持PC与移动端数据实时同步。附带包含客户评价、行业解决方案的完整测试数据包查看源码