您现在的位置是：首页 > cms教程 > DedeCMS教程DedeCMS教程

dedecms织梦投票模块漏洞解决方法

南莲2024-05-30DedeCMS教程已有人查阅

导读DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除，经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换，导致不法分子sql注入。

DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除，经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换，导致不法分子sql注入。只要讲addslashes()改为mysql_real_escape_string()即可。
打开/include/dedevote.class.php文件，查找

$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

修改为

$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

注：
* addslashes() 是强行加\；
* mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

本文标签：

很赞哦！ ()

上一篇：dedecms织梦首页调用文章页全部内容的代码实例

下一篇：dedecms织梦后台验证码图片不显示的多种解决方法

图文教程

相关源码

(自适应)电子元件电路板元器件pbootcms网站源码下载为电子元器件、电路板制造类企业设计，特别适合展示产品参数、技术规格等内容。采用响应式技术，确保各类电子元件在不同设备上都能清晰展示。查看源码
(PC+WAP)家居装饰家装建材营销型网站pbootcms模板下载本模板基于PbootCMS开发，主要服务于家居装饰、建材及相关行业。采用现代化设计风格，同时适配PC和移动设备访问。模板结构清晰，突出展示家装案例和建材产品，帮助企业在线上建立专业形象，有效展示产品与服务优势。查看源码
(自适应)平面设计网络工作室个人作品展示网站模板免费下载基于PbootCMS内核开发的响应式网站模板，为设计工作室、创意机构打造的作品展示解决方案。通过模块化布局与极简交互设计，呈现设计作品的视觉细节，支持作品分类、案例解析等多维度展示方式。查看源码
(自适应响应式)HTML5甲醛环境检测网站模板带在线留言和资料下载本模板为甲醛检测与环保科技企业开发，采用PbootCMS内核构建。首页集成空气质量数据可视化模块，服务流程采用时间轴展示设计，检测报告板块支持PDF在线预览功能查看源码
(自适应响应式)蓝色外贸英文产品介绍展示网站模板本模板采用手工编写的DIV+CSS架构，代码精简高效。适配手机端浏览，数据实时同步更新。内置SEO优化框架，支持独立设置各页面标题、关键词及描述。开源代码结构清晰，便于二次开发。查看源码
(自适应响应式)HTML5幕墙装饰工程建筑装修公司pbootcms模板下载基于PbootCMS开发的响应式模板，为幕墙工程、建筑装饰企业设计，通过数字化展示提升企业专业形象与项目展示能力。结构化数据标记增强项目案例收录，智能URL路由优化，支持每个工程案例独立设置关键词与描述查看源码