网站首页
高端网站
  精品网站
  雅致网站
  专业仿站
定制版网站
建站常识
网站超市
联系方式
高端网站仿站推荐:
01
02
03
04
05
06
07
定制网站
公司网站
雅致网站
网站超市中心
您当前的位置: 主页 > 优化教程
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
发布时间:2021-07-22   文章编辑:兴网(www.1yc.cn) 阅读次数:
文章摘要:dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法: 补丁文件: /include/common.inc.php 漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSIO
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法:
 
补丁文件:/include/common.inc.php
 
漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入
 
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
 
1、搜索如下代码(68行):
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
 
2、替换 68 行代码,替换代码如下:
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
 
修改前请备份好文件,将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题
 

关键词:dedecms,SESSION,变量,覆盖,导致,SQL,注    标签:
    更多资讯请收藏关注 网站模板(www.1yc.cn)

Dedecms(织梦)程序MySQL修复表和文章路径修改方法做网站是我们经常会遇到被一些小问题困扰的。其实有些问题非常的简单,通过... 2021-08-14
dedecms教程:“无法获得主键,因此无法进行后续无法获得主键,因此无法进行后续操作 出现这个问题一般在后台系统主页检测... 2021-07-22
织梦采集文章时不能采集生成TAG及描述的解决办法织梦dedecms默认的采集功能只能采集到keywords,不能生成t... 2021-07-22
织梦dedecms系统创建自定义字段今天群里的网友问了一个问题,如何添加自定义字段,我们在做织梦建站的时候... 2021-07-27
织梦Dedecms上传中文文件不自动改名,保持原文件名的方法相信用过dedecms的人都清楚这一点,就是上传的文件会自动被改名,当... 2021-07-30
DedeCMS百度结构化数据插件常见404跳转、重复域名网址、路径等问最近刚使用织梦DedeCMS百度结构化数据插件,但是在使用中却遇到了4... 2021-08-09
DedeCms5.7以拼音首字母作文件夹名称的方法技巧今天分享DedeCms添加栏目的一个小技巧,添加栏目以简拼作目录名,以... 2021-07-30
dedecms 内容页如何调用评论个数? 2021-07-22
dedecms标签:arclist文章列表调用标签标签名称:arclist 标记简介:织梦常用标记,也称为自由列表标记,... 2021-07-22
dedecms显示所有文章列表本文介绍了dedecms中显示所有文章列表的实现方法,dedecms如... 2021-07-22
Dedecms总结:如何取消各种登录验证码显示使用dedecms建站的朋友想必程序都升过级了吧,当然了,有新版本肯定... 2021-08-14
织梦dedecms在其它页面调用单页文章内容的方法以下是在 V5.6 GBK上面实验的哈!其它版本的估计得修改下 语句里... 2021-07-27
织梦CMS不能上传jpg格式的图片怎么办如何解决织梦CMS不能上传jpg格式的图片怎么办如何解决 到根目录下找到Inc... 2021-07-27
DEDECMS织梦重命名更改plus文件夹名称的简单方法DEDE有很多漏洞都是出自plus文件夹下的文件,网上有很多挂马工具都... 2021-07-22
织梦DEDECMS调用副栏目下文章数量方法教程在织梦文件目录打开 include/common.func.php 文... 2021-07-22
织梦给文章添加缩略图提示select_images.php文件报错的具体处理方法很多站长朋友都是用织梦dedecms程序建站,AB 织梦模板 网也是一... 2021-08-14
织梦模板DEDE采集标题不完整修改织梦文章标题长度1、修改系统参数设置(文档标题最大长度) 系统-系统设置-系统基本参数... 2021-07-22
织梦的tag标签提示系统无此标签可能已经移除怎么办标签对于很多CMS程序建站非常重要,基本很多功能的实现都是要直接调用标... 2021-08-14
DEDECMS启用SSL和多站点支持HTTPS访问后域名重复的解决办法启用SSL开启HTTPS访问后,发现DEDE,对设置动态浏览的文章出现... 2021-07-22
设置dedecms标签 [field:global.autoindex/] 初始值在{dede:arclist/}这个标签中有个[field:globa... 2021-07-22

线
咨询热线:
135-0038-3336
在线客服:
点击这里给我发消息
微信交流:
公司官网: www.1yc.cn