阿里云提示dedecms留言板注入漏洞

admin2023-01-192968

找到路径如下文件/plus/guestbook/edit.inc.php,在该文件中找到如下内容

$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS);

在这两行上面插入

$msg = addslashes($msg); //插入这句
$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");


网友评论