阿里云dedecms留言板注入漏洞
漏洞名称:dedecms注入漏洞
漏洞文件:/plus/guestbook/edit.inc.php
漏洞描述:dedecms留言板注入漏洞
解决方法:在/plus/guestbook/edit.inc.php文件中搜索
$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
在它的上面添加
$msg = addslashes($msg);
形成如下面代码
$msg = HtmlReplace($msg, -1); $msg = addslashes($msg); $dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' "); ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS); exit();