您现在的位置是：首页 > cms教程 > DedeCMS教程DedeCMS教程

DedeCMS织梦投票模块插件sql注入漏洞修复教程

单羽2023-09-28DedeCMS教程已有人查阅

导读有很多织梦站长朋友反映DedeCMS投票模块的投票主题的选项经常被sql注入删除，经过检查发现投票模块代码没有对sql参数进行转换，导致不法分子可以恶意利用sql注入。

有很多织梦站长朋友反映DedeCMS投票模块的投票主题的选项经常被sql注入删除，经过检查发现投票模块代码没有对sql参数进行转换，导致不法分子可以恶意利用sql注入。
解决方法很简单，只要将addslashes()改为mysql_real_escape_string()即可。
找到并打开/include/dedevote.class.php文件，在里面找到如下代码：

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount='”.($this->VoteInfos[‘totalcount’]+1).”‘,votenote='”.addslashes($items).”‘ WHERE aid='”.$this->VoteID.”‘”);

将其替换为如下代码：

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount='”.($this->VoteInfos[‘totalcount’]+1).”‘,votenote='”.mysql_real_escape_string($items).”‘ WHERE aid='”.mysql_real_escape_string($this->VoteID).”‘”);

说明：
addslashes() 是强行加\；
mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)
mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

本文标签：

很赞哦！ ()

上一篇：dedecms修改广告代码后前台广告代码不更新的修改方法

下一篇：dedecms文章添加跳转属性后打开出现空白的修复方法

图文教程

相关源码

帝国cms7.5模板情感文学名言名句心情文章类源码下载带手机本模板基于帝国CMS7.5开发，为情感文学类网站设计。整体风格温馨雅致，布局合理清晰，特别适合建设情书分享、文学作品展示类网站。模板采用响应式设计，能够自动适配各种终端设备。查看源码
(自适应)html5中英双语通用机械设备pbootcms模板下载本模板基于PbootCMS内核精心开发，为机械设备制造企业量身打造。设计风格大气稳重，充分展现机械行业的专业特质与技术实力。采用HTML5技术构建，支持中英文双语切换，满足国际化业务需求。整站布局合理，充分展示企业产品、案例与服务，帮助访客快速了解企业核心优势。查看源码
(自适应响应式)动力刀座五金机械设备pbootcms网站源码下载为动力刀座及五金机械企业定制的响应式网站框架，基于PbootCMS系统深度开发，助力传统制造企业实现数字化转型升级。采用手工编写的DIV+CSS前端架构，代码执行效率提升40%。查看源码
(自适应)工业机械制造设备网站pbootcms模板下载为机械制造、工业设备类企业设计，特别适合各类机械设备、生产线、工业自动化产品展示。采用响应式技术，确保在不同设备上都能清晰展示机械产品的技术参数和细节特点。查看源码
(自适应)刷卡pos机数据移动支付设备电子科技pbootcms模板下载本模板为POS机设备制造商、移动支付终端服务商和科技企业设计，基于PbootCMS系统开发，提供完整的在线展示平台解决方案，满足支付设备行业特有的展示需求。查看源码
(自适应)电梯扶梯升降梯行业pbootcms企业网站模板(自适应手机版)响应式电梯扶梯类pbootcms模板电梯生产企业绿色企业网站源码下载PbootCMS内核开发的网站模板，该模板适用于电梯、扶梯类等企业，查看源码