很多用戶用到阿里云服務(wù)器，會(huì)經(jīng)常碰到各種安全提示，不得不說(shuō)阿里云這一塊做的還是很不錯(cuò)的。今天介紹下【阿里云提示織夢(mèng)dedecms模版SQL注入漏洞修復(fù)方法】。

問(wèn)題原因：dedecms的/member/soft_add.php中，對(duì)輸入模板參數(shù)$servermsg1未進(jìn)行嚴(yán)格過(guò)濾，導(dǎo)致攻擊者可構(gòu)造模版閉合標(biāo)簽，實(shí)現(xiàn)模版注入進(jìn)行GETSHELL。

關(guān)于織夢(mèng)dedecms模板SQL注入漏洞修復(fù)方法，主要是文件/member/soft_add.php。

搜索： $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";   (大概在154行左右)

替換成  

if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) { $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n"; } 

老規(guī)矩大紅色地方標(biāo)記了修改的地方，然后保存，接著備份原文件，然后上傳修改好的文件即可。