您现在的位置是：首页 > cms教程 > DedeCMS教程DedeCMS教程

解决dede织梦投票模块漏洞的方法

怀蕊2024-02-18DedeCMS教程已有人查阅

导读有站长反映织梦投票模块的投票主题选项经常被sql注入删除，经过查看代码发现投票模块代码没有对sql参数进行转换，导致被黑客sql注入。

有站长反映织梦投票模块的投票主题选项经常被sql注入删除，经过查看代码发现投票模块代码没有对sql参数进行转换，导致被黑客sql注入。
解决方法如下：
只要把 addslashes() 改为 mysql_real_escape_string() 即可。
打开/include/dedevote.class.php文件
查找

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.($this->VoteInfos['totalcount']+1).”‘,votenote=’”.addslashes($items).”‘ WHERE aid=’”.$this->VoteID.”‘”);

修改为

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.(mysql_real_escape_string($this->VoteInfos['totalcount'])+1).”‘,votenote=’”.mysql_real_escape_string($items).”‘ WHERE aid=’”.mysql_real_escape_string($this->VoteID).”‘”);

注：
* addslashes() 是强行加\；
* mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

本文标签：

很赞哦！ ()

上一篇：dede织梦任意位置调用自定义字段的方法

下一篇：织梦dedecms实用技巧安全措施教程

图文教程

相关源码

自适应手机版五金机械阀门设备通用行业网站模板该PbootCMS内核开发的网站模板适用于阀门设备、五金机械类企业，通过更换文字图片也可快速适配其他工业领域。采用响应式设计，确保PC端与手机端数据同步，操作便捷，并附带测试数据。查看源码
(自适应响应式)供应链进出口服务pbootcms企业网站源码为供应链管理、进出口服务类企业设计，特别适合展示物流网络、贸易服务和供应链解决方案。采用响应式技术，确保在各类设备上都能呈现企业服务内容。查看源码
(自适应)工商代理公司注册财务会计pbootcms模板免费下载为工商代理、财务会计服务企业设计的网站模板，基于PbootCMS开发，充分考虑了企业服务行业的展示需求与客户转化路径。设计风格专业严谨，布局清晰合理，呈现企业服务内容与专业优势。查看源码
(响应式)蓝色智能摄像头安防防盗电子设备免费pbootcms源码下载这是一款针对智能安防行业特点设计的网站模板，采用蓝色系配色方案，体现科技感和安全性。模板包含产品展示、解决方案、技术支持和新闻中心等核心模块，能够全面展示智能安防设备的技术特点和行业应用。查看源码
(自适应响应式)教育培训机构集团网站pbootcms源码下载本模板基于PbootCMS系统开发，为教育培训机构设计，特别适合展示课程体系、师资团队和教学成果。采用响应式技术，确保在各类设备上都能提供良好的浏览体验。查看源码
(PC+WAP)生活资讯百科新闻门户类pbootcms网站模板为生活资讯、百科门户类企业打造的高性能网站模板，基于PbootCMS开源内核开发，采用HTML5响应式架构，PC与手机端实时数据同步，覆盖全终端用户浏览场景。查看源码