网站首页
高端网站
  精品网站
  雅致网站
  专业仿站
定制版网站
建站常识
网站超市
联系方式
高端网站仿站推荐:
01
02
03
04
05
06
07
定制网站
公司网站
雅致网站
网站超市中心
您当前的位置: 主页 > 优化教程
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
发布时间:2021-07-22   文章编辑:兴网(www.1yc.cn) 阅读次数:
文章摘要:dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法: 补丁文件: /include/common.inc.php 漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSIO
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法:
 
补丁文件:/include/common.inc.php
 
漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入
 
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
 
1、搜索如下代码(68行):
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
 
2、替换 68 行代码,替换代码如下:
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
 
修改前请备份好文件,将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题
 

关键词:dedecms,SESSION,变量,覆盖,导致,SQL,注    标签:
    更多资讯请收藏关注 网站模板(www.1yc.cn)

织梦在任意标签中调用系统基本参数的办法我们在使用dedecms 织梦模板 建站的时候,有时候需要在标签中调用... 2021-07-22
织梦上传图片时提示:ERROR: Copy Uploadfile Error! 2021-07-22
织梦DEDECMS教程:去除列表页文章标题加粗标签最近在用DEDECMS搭架网站的时候,我碰到这种情况:就是生成的列表模... 2021-07-22
织梦获取顶级栏目名称、二级栏目名称实现方法织梦DEDECMS文章、栏目页获取当前页面顶级栏目名称的方法 在用织梦... 2021-08-14
织梦dedeCMS版权代码修改及$arrs1和$arrs2的含义织梦(dede)CMS的版权调用方法为:{dede:global.cf... 2021-07-27
百度编辑器ueditor代码高亮效果实现方法相信很多朋友在使用ueditor,同样地,我之前也一直使用uedito... 2021-07-22
织梦模板DEDE有下级栏目就显示没有就显示同级栏目 2021-07-22
dedecms织梦5.7的后台图片裁剪之后图片被模糊解决方法不知道为什么每次剪裁图片的时候 最后生成的图片都会很模糊,一开始修改了... 2021-07-27
dede问答模型调用标签大全dede问答模型调用标签大全DEDE调用回答栏目文章:以前分享过DED... 2021-08-09
实现DedeCms织梦模板文章标题分栏显示的教程代码如下: {dede:field name=title/}-{ded... 2021-07-22
dedecms中修改摘要字数长度的方法介绍dedecms中修改摘要字数长度的方法介绍 本文介绍下,修改dedec... 2021-07-22
dedecms当{dede:field name='softlinks'/}dede新窗口打开下载连接父栏目高亮显示不使用dede软件下载频道发现{dede:field name=soft... 2021-07-22
dedecms织梦给后台管理员列表增加搜索功能最近用织梦系统给一个客户做了一个管理系统,客户分配的管理员账户达到了3... 2021-07-27
织梦dedecms 如何让友情链接的a标签显示title天在弄友情链接的时候 发现友情链接不会显示title 但是有时候换友链... 2021-07-30
调用{dede:likewords}为织梦添加相关搜索词经常看到一些大型的网站会设置相关搜索,即使访客搜索的内容在本站暂时没有... 2021-08-14
dedecms教程:登录管理后台总是验证码错误的解决在网上找了很多的解决方案,说法有很多种,但最后都无法解决这个问题, 1... 2021-07-22
织梦文章页原创Meta声明标注在添加这个标签的时候,余斗发现一个问题,就是页面的生成格式默认为:20... 2021-07-22
织梦dedecms提示信息提示框美化 2021-07-22
DEDECMS内容图片如何在二级域名下调用的解决方法DedeCmsSYSTEM_配置参数-其它选项中有两个配置选项:[附件... 2021-07-30
DedeCMS织梦模板在PHP7.0以上环境下文章页空白怎么办?最近在捣腾阿里云服务器,发现把php版本升级到7.0之后,其他地方都是... 2021-07-22

线
咨询热线:
135-0038-3336
在线客服:
点击这里给我发消息
微信交流:
公司官网: www.1yc.cn