阿里云dedecms留言板注入漏洞

admin2023-01-182125

漏洞名称:dedecms注入漏洞

漏洞文件:/plus/guestbook/edit.inc.php

漏洞描述:dedecms留言板注入漏洞

解决方法:在/plus/guestbook/edit.inc.php文件中搜索

$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");

在它的上面添加

$msg  = addslashes($msg);

形成如下面代码

$msg = HtmlReplace($msg, -1);
$msg  = addslashes($msg); 
$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS);
exit();


网友评论