阿里云提示plus/search.php注入漏洞修復(fù)方法

來(lái)源：本站原創(chuàng)|時(shí)間：2021-08-05|欄目：dedecms|點(diǎn)擊：次

漏洞描述：

dedecms變量覆蓋導(dǎo)致注入漏洞。

存在漏洞的文件/plus/search.php,找到以下代碼

//引入欄目緩存并看關(guān)鍵字是否有相關(guān)欄目?jī)?nèi)容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { $keywordn = str_replace($typename, ‘ ‘, $keyword); if($keyword != $keywordn) { $keyword = $keywordn; $typeid = $id; //對(duì)ID沒(méi)做任何過(guò)濾導(dǎo)致注入 break; } } } } $keyword = addslashes(cn_substr($keyword,30));

替換為以下代碼：

//引入欄目緩存并看關(guān)鍵字是否有相關(guān)欄目?jī)?nèi)容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { //$keywordn = str_replace($typename, ‘ ‘, $keyword); $keywordn = $keyword; if($keyword != $keywordn) { $keyword = HtmlReplace($keywordn);//防XSS $typeid = intval($id); //強(qiáng)制轉(zhuǎn)換為數(shù)字型 break; } } } } $keyword = addslashes(cn_substr($keyword,30));

上一篇：dedecms后臺(tái)如何加入自定義媒體視頻功能

欄目：dedecms

下一篇：織夢(mèng)dedecms會(huì)員中心發(fā)布圖集縮略圖失敗解決方法

本文標(biāo)題：阿里云提示plus/search.php注入漏洞修復(fù)方法

本文地址：http://mengdiqiu.com.cn/a1/dedecms/16759.html

更多dedecms