您现在的位置是：首页 > cms教程 > DedeCMS教程DedeCMS教程

DedeCMS织梦投票模块插件sql注入漏洞修复教程

单羽2023-09-28DedeCMS教程已有人查阅

导读有很多织梦站长朋友反映DedeCMS投票模块的投票主题的选项经常被sql注入删除，经过检查发现投票模块代码没有对sql参数进行转换，导致不法分子可以恶意利用sql注入。

有很多织梦站长朋友反映DedeCMS投票模块的投票主题的选项经常被sql注入删除，经过检查发现投票模块代码没有对sql参数进行转换，导致不法分子可以恶意利用sql注入。
解决方法很简单，只要将addslashes()改为mysql_real_escape_string()即可。
找到并打开/include/dedevote.class.php文件，在里面找到如下代码：

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount='”.($this->VoteInfos[‘totalcount’]+1).”‘,votenote='”.addslashes($items).”‘ WHERE aid='”.$this->VoteID.”‘”);

将其替换为如下代码：

$this->dsql->ExecuteNoneQuery(“UPDATE `dede_vote` SET totalcount='”.($this->VoteInfos[‘totalcount’]+1).”‘,votenote='”.mysql_real_escape_string($items).”‘ WHERE aid='”.mysql_real_escape_string($this->VoteID).”‘”);

说明：
addslashes() 是强行加\；
mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)
mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

本文标签：

很赞哦！ ()

上一篇：dedecms修改广告代码后前台广告代码不更新的修改方法

下一篇：dedecms文章添加跳转属性后打开出现空白的修复方法

图文教程

相关源码

(自适应响应式)化妆美容口红唇膏化妆品模板pbootcms源码下载基于PbootCMS开发的响应式模板，为化妆品品牌、美容机构打造，通过优雅的视觉呈现提升产品展示效果与品牌调性。采用时尚杂志排版风格，色卡系统规范产品展示。微交互动画增强用户体验，智能推荐算法提升产品关联展示效果。查看源码
帝国cms自适应古诗词古籍名句网站整站带数据基于帝国CMS打造的专业古诗词文化网站模板，专注于古典文学内容的展示与传播。模板设计蕴含传统文化韵味，支持诗词鉴赏、名句赏析、古籍整理等特色功能，为诗词爱好者提供优质的在线阅读体验。查看源码
(自适应)证书授权书防伪查询系统pbootcms模板本模板基于PbootCMS系统开发，为各类证书查询机构设计，可快速构建高效安全的证书核验平台。采用响应式布局技术，自动适配手机端操作，支持批量导入证书数据，提供便捷的查询接口，满足机构证书管理及用户在线核验需求。查看源码
(自适应)WordPress二次元博客主题SakurairoSakurairo主题为二次元内容创作者设计，提供丰富的动漫风格元素和个性化的展示效果。该主题在原有Sakura主题基础上进行了功能增强，支持多种自定义设置，满足动漫爱好者建立个人博客的需求。查看源码
(pc+wap)pbootcms网站模板蓝色小程序网站开发公司基于PbootCMS内核开发的营销型门户模板，为小程序开发公司、电商软件企业打造。采用HTML5自适应架构，实现PC与手机端数据实时同步展示查看源码
(PC+WAP)绿色硅胶橡胶玩具制品营销型网站源码下载为硅胶橡胶制品及玩具行业打造的营销型网站模板，采用PbootCMS内核开发，通过模块化设计实现产品参数、安全认证、应用场景等专业内容的可视化呈现，助力企业建立可信赖的线上展示平台。查看源码