您现在的位置是：首页 > cms教程 > DedeCMS教程DedeCMS教程

DedeCMS织梦投票模块插件sql注入漏洞修复教程

单羽2023-09-28DedeCMS教程已有人查阅

导读有很多织梦站长朋友反映DedeCMS投票模块的投票主题的选项经常被sql注入删除，经过检查发现投票模块代码没有对sql参数进行转换，导致不法分子可以恶意利用sql注入。

有很多织梦站长朋友反映DedeCMS投票模块的投票主题的选项经常被sql注入删除，经过检查发现投票模块代码没有对sql参数进行转换，导致不法分子可以恶意利用sql注入。
解决方法很简单，只要将addslashes()改为mysql_real_escape_string()即可。
找到并打开/include/dedevote.class.php文件，在里面找到如下代码：

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount='”.($this->VoteInfos[‘totalcount’]+1).”‘,votenote='”.addslashes($items).”‘ WHERE aid='”.$this->VoteID.”‘”);

将其替换为如下代码：

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount='”.($this->VoteInfos[‘totalcount’]+1).”‘,votenote='”.mysql_real_escape_string($items).”‘ WHERE aid='”.mysql_real_escape_string($this->VoteID).”‘”);

说明：
addslashes() 是强行加\；
mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)
mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

本文标签：

很赞哦！ ()

上一篇：dedecms修改广告代码后前台广告代码不更新的修改方法

下一篇：dedecms文章添加跳转属性后打开出现空白的修复方法

图文教程

相关源码

(自适应)变压器电子元器件电器配件pbootcms网站模板源码为电子元器件企业打造的响应式网站模板，基于PbootCMS内核开发，助力企业快速构建专业级线上展示平台。支持页面独立设置标题、关键词和描述，内置SEO友好结构。PHP程序确保运行安全稳定，有助于提升搜索引擎收录效果。查看源码
(PC+WAP)绿色硅胶橡胶玩具制品营销型网站源码下载为硅胶橡胶制品及玩具行业打造的营销型网站模板，采用PbootCMS内核开发，通过模块化设计实现产品参数、安全认证、应用场景等专业内容的可视化呈现，助力企业建立可信赖的线上展示平台。查看源码
(PC+WAP)生活资讯百科新闻门户类pbootcms网站模板为生活资讯、百科门户类企业打造的高性能网站模板，基于PbootCMS开源内核开发，采用HTML5响应式架构，PC与手机端实时数据同步，覆盖全终端用户浏览场景。查看源码
(自适应响应式)html5高档服装定制西服pbootcms模板下载本模板基于PbootCMS内核开发，为服装定制企业和服装品牌量身打造。设计风格时尚现代，充分展现服装行业的审美特质与品牌魅力。采用HTML5响应式技术，确保在各种设备上呈现视觉效果。整站布局注重产品展示与品牌叙事，帮助企业有效展示服装系列与定制服务，提升客户体验。查看源码
pbootcms网站网络公司个人作品展示类网站源码(自适应)为网站建设公司、网络服务企业打造的响应式门户解决方案，基于PbootCMS内核深度开发。采用前沿自适应架构，无缝适配手机端交互与PC端展示需求。查看源码
手机软件APP游戏软件下载网站Pbootcms模板(自适应)基于PbootCMS内核深度开发的网站模板，为移动互联网时代打造。无论是手机APP推广、游戏软件展示，还是各类企业官网需求，本模板都能通过简单的图文替换实现行业无缝切换查看源码