您现在的位置是：首页 > cms教程 > DedeCMS教程DedeCMS教程

dedecms织梦投票模块漏洞解决方法

南莲2024-05-30DedeCMS教程已有人查阅

导读DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除，经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换，导致不法分子sql注入。

DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除，经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换，导致不法分子sql注入。只要讲addslashes()改为mysql_real_escape_string()即可。
打开/include/dedevote.class.php文件，查找

$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

修改为

$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

注：
* addslashes() 是强行加\；
* mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

本文标签：

很赞哦！ ()

上一篇：dedecms织梦首页调用文章页全部内容的代码实例

下一篇：dedecms织梦后台验证码图片不显示的多种解决方法

图文教程

相关源码

Wordpress博客新闻主题在线商店平台betheme 21.5.6版BeTheme是一款功能丰富的WordPress主题模板，专注于为各行业提供网站建设解决方案。该模板支持WooCommerce电子商务功能，能够快速搭建在线商店平台，同时适用于博客、新闻资讯类网站建设。自2014年发布以来，该模板已经获得大量用户的使用验证。查看源码
(自适应)绿色农业大型机械设备展示网站模板下载基于PbootCMS内核深度定制开发的农业机械行业专用模板。针对农机设备展示、产品参数说明等需求优化设计，突出农业机械行业特性查看源码
(自适应)大型农业机械设备水稻玉米收割机网站pbootcms源码下载本模板基于PbootCMS内核开发，为农业机械设备制造与销售企业设计，特别适合水稻玉米收割机、拖拉机、播种机等农用机械展示。模板充分考虑了农机行业的特性，从产品展示到技术参数，从作业案例到售后服务查看源码
(自适应)挖掘机大型采矿设备pbootcms网站源码下载本模板基于PbootCMS系统开发，专为重型机械设备行业设计，特别适合挖掘机、采矿设备、工程机械等工业设备展示。采用响应式布局技术，确保各类设备参数和图片在不同终端上都能清晰展示。查看源码
(PC+WAP)智能机器人人工智能物联网自动化设备源码下载本模板基于PbootCMS内核开发，为智能机器人及传感器科技企业精心设计。采用现代化设计风格，突出科技感与专业性，多方位展示企业技术实力与产品优势。查看源码
响应式电脑维修办公用品维护pbootcms网站模板模板介绍(自适应手机版)响应式电脑修理公司pbootcms网站模板-蓝色HTML5电脑修理维修店网站源码下载PbootCMS内核开发的营销型网站模板，该模查看源码