您现在的位置是：首页 > cms教程 > DedeCMS教程DedeCMS教程

解决dede织梦投票模块漏洞的方法

怀蕊2024-02-18DedeCMS教程已有人查阅

导读有站长反映织梦投票模块的投票主题选项经常被sql注入删除，经过查看代码发现投票模块代码没有对sql参数进行转换，导致被黑客sql注入。

有站长反映织梦投票模块的投票主题选项经常被sql注入删除，经过查看代码发现投票模块代码没有对sql参数进行转换，导致被黑客sql注入。
解决方法如下：
只要把 addslashes() 改为 mysql_real_escape_string() 即可。
打开/include/dedevote.class.php文件
查找

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.($this->VoteInfos['totalcount']+1).”‘,votenote=’”.addslashes($items).”‘ WHERE aid=’”.$this->VoteID.”‘”);

修改为

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount=’”.(mysql_real_escape_string($this->VoteInfos['totalcount'])+1).”‘,votenote=’”.mysql_real_escape_string($items).”‘ WHERE aid=’”.mysql_real_escape_string($this->VoteID).”‘”);

注：
* addslashes() 是强行加\；
* mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

本文标签：

很赞哦！ ()

上一篇：dede织梦任意位置调用自定义字段的方法

下一篇：织梦dedecms实用技巧安全措施教程

图文教程

相关源码

(PC+WAP)蓝色自动电动闸门伸缩门类网站pbootcms模板下载为电动闸门、自动伸缩门企业设计的响应式网站模板，突出产品展示与技术优势，助力门控设备企业建立专业数字化形象。手工编写DIV+CSS结构，代码精简高效，无冗余代码干扰，加载速度更快。查看源码
(自适应)pbootcms家政服务保洁保姆打扫卫生网站模板下载本模板基于PbootCMS内核开发，为家政服务企业量身定制。设计风格温馨亲切，突出家政行业的专业与贴心服务特性，多方位展示企业服务项目与优势。查看源码
(自适应响应式)黑色LED显示屏户外广告屏网站源码下载这是一款基于PbootCMS内核开发的响应式网站模板，专门为LED显示屏及户外广告行业打造。模板适配各类显示设备，帮助企业快速搭建专业官网，展示产品与服务优势，有效提升品牌形象。查看源码
(自适应)html5宽屏电线电缆材料加工制造类企业网站源码下载本模板基于PbootCMS系统开发，特别适合电线电缆、电缆材料及相关加工制造类企业使用。采用HTML5宽屏设计，能够展示各类电缆产品的技术参数和规格详情，帮助客户全面了解产品特性。查看源码
pbootcms模板(PC+WAP)火锅加盟餐饮美食类带留言源码基于PbootCMS内核深度开发，为火锅、餐饮品牌打造的营销型解决方案。采用红色主题传递行业活力，实现PC与WAP端适配。查看源码
(自适应)个人图集图片相册画册pbootcms网站模板源码本模板基于PbootCMS系统开发，为图片展示类网站设计，特别适合个人作品集、摄影画册、艺术图集等内容展示。采用响应式布局技术，确保各类图片在不同设备上查看源码