您现在的位置是：首页 > cms教程 > DedeCMS教程DedeCMS教程

解决dede织梦投票模块漏洞的方法

怀蕊2024-02-18DedeCMS教程已有人查阅

导读有站长反映织梦投票模块的投票主题选项经常被sql注入删除，经过查看代码发现投票模块代码没有对sql参数进行转换，导致被黑客sql注入。

有站长反映织梦投票模块的投票主题选项经常被sql注入删除，经过查看代码发现投票模块代码没有对sql参数进行转换，导致被黑客sql注入。
解决方法如下：
只要把 addslashes() 改为 mysql_real_escape_string() 即可。
打开/include/dedevote.class.php文件
查找

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.($this->VoteInfos['totalcount']+1).”‘,votenote=’”.addslashes($items).”‘ WHERE aid=’”.$this->VoteID.”‘”);

修改为

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.(mysql_real_escape_string($this->VoteInfos['totalcount'])+1).”‘,votenote=’”.mysql_real_escape_string($items).”‘ WHERE aid=’”.mysql_real_escape_string($this->VoteID).”‘”);

注：
* addslashes() 是强行加\；
* mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

本文标签：

很赞哦！ ()

上一篇：dede织梦任意位置调用自定义字段的方法

下一篇：织梦dedecms实用技巧安全措施教程

图文教程

相关源码

pbootcms网站模板响应式全屏旅游景区网站源码本模板为风景民宿、旅游景区等企业设计，基于PbootCMS内核开发，具备响应式布局与专业SEO优化功能，助力企业低成本高效获客。以下是核心特点：查看源码
(响应式)wordpress模板VieuV4.5主题资讯自媒体博客源码Vieu主题专注于个人博客与企业展示场景，采用响应式设计确保在手机、电脑、平板等多设备上的展示。主题集成会员中心、投稿系统、内容保护等实用功能，满足现代博客网站的建设需求。查看源码
pbootcms模板(PC+WAP)微信小程序开发公司网站本模板为微信小程序开发代理、软件开发公司等企业设计，基于PbootCMS内核开发，支持PC+WAP双端响应式布局，数据实时同步，适用于多行业快速建站。查看源码
帝国cms7.5模板情感文学名言名句心情文章类源码下载带手机本模板基于帝国CMS7.5开发，为情感文学类网站设计。整体风格温馨雅致，布局合理清晰，特别适合建设情书分享、文学作品展示类网站。模板采用响应式设计，能够自动适配各种终端设备。查看源码
(自适应)黑色摄影作品工作室pbootcms模板网站源码下载为风景摄影、个人工作室打造的高端网站模板，基于PbootCMS开源内核开发，采用HTML5自适应架构，PC与移动端实时数据同步，适配各类拍摄作品展示需求。查看源码
(自适应响应式)高新技术科技能源pbootcms网站HTML5模板本模板基于PbootCMS内核开发，为高新技术、科技研发、能源技术等科技型企业设计。采用HTML5+CSS3前沿技术，具备完善的响应式布局，能够自动适配手机、平板和电脑等多种终端设备。模板设计风格简约大气查看源码