您现在的位置是：首页 > cms教程 > DedeCMS教程DedeCMS教程

DedeCMS织梦投票模块插件sql注入漏洞修复教程

单羽2023-09-28DedeCMS教程已有人查阅

导读有很多织梦站长朋友反映DedeCMS投票模块的投票主题的选项经常被sql注入删除，经过检查发现投票模块代码没有对sql参数进行转换，导致不法分子可以恶意利用sql注入。

有很多织梦站长朋友反映DedeCMS投票模块的投票主题的选项经常被sql注入删除，经过检查发现投票模块代码没有对sql参数进行转换，导致不法分子可以恶意利用sql注入。
解决方法很简单，只要将addslashes()改为mysql_real_escape_string()即可。
找到并打开/include/dedevote.class.php文件，在里面找到如下代码：

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount='”.($this->VoteInfos[‘totalcount’]+1).”‘,votenote='”.addslashes($items).”‘ WHERE aid='”.$this->VoteID.”‘”);

将其替换为如下代码：

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount='”.($this->VoteInfos[‘totalcount’]+1).”‘,votenote='”.mysql_real_escape_string($items).”‘ WHERE aid='”.mysql_real_escape_string($this->VoteID).”‘”);

说明：
addslashes() 是强行加\；
mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)
mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

本文标签：

很赞哦！ ()

上一篇：dedecms修改广告代码后前台广告代码不更新的修改方法

下一篇：dedecms文章添加跳转属性后打开出现空白的修复方法

图文教程

相关源码

(自适应响应式)绿色环保材料设备科技类营销型网站pbootcms源码下载本模板基于PbootCMS开发，主要面向环保设备、环保材料及相关科技企业。采用HTML5+CSS3技术构建，具备响应式特性，确保在各类设备上均有良好展示效果。查看源码
自适应车行汽车租赁二手车行业企业网站模板为汽车租赁与二手车交易场景深度优化，采用PbootCMS内核开发，聚焦车辆展示、租赁流程与服务介绍三大核心模块。响应式布局确保PC与移动端数据实时同步，后台一键管理车辆信息查看源码
pbootcms模板(PC+WAP)传媒广告影视公司网站源码基于PbootCMS内核开发的全自适应传媒文化网站模板，为影视公司、广告传媒企业打造，同时支持多行业快速适配。通过替换文字图片即可转换为其他行业网站查看源码
(自适应响应式)绿色环保防腐木材轻钢别墅建材pbootcms模板下载本模板为环保防腐木材、轻钢别墅建材类企业设计开发，基于PbootCMS内核构建，充分考虑了建材行业的展示需求与产品特点。模板设计风格自然环保，布局清晰合理，呈现建材产品特性与专业优势，帮助访客直观了解产品特点并建立信任感。查看源码
(自适应响应式)蓝色环保机械设备网站pbootcms模板HTML5源码下载基于PbootCMS的生态环境技术展示平台，通过内容调整可应用于新能源设备、污水处理、空气净化等环保相关领域。设备参数采用对比表格展示，技术原理支持图文混排；查看源码
自适应电子科技类产品公司pbootcms网站模板基于PbootCMS内核开发，为电子科技类企业设计，适用于电子产品展示、企业官网等场景。该模板采用‌开源架构‌，用户可自由访问和修改源码，灵活适配各类行业需求，无需二次开发成本查看源码