欢迎来到素材无忧网,按 + 收藏我们
登录 注册 退出 找回密码
素材无忧对所有站长和会员的道歉信 素材无忧发展辛酸史 会员权限丢失怎么办? 素材无忧正式更换为:素材无忧网 素材无忧也正式更换新域名:www.sucai51.cn
  主页 > cms教程 > 织梦学院 > 织梦技巧

dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决

时间: 2020-07-14 10:57 阅读: 作者:素材无忧网

dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法:   补丁文件:/include/common.inc.php   漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入   dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法   1、搜索如下代码(68行):   if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )   2、替换 68 行代码,替换代码如下:   if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )   修改前请备份好文件,将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题。

版权声明: 本站资源均来自互联网或会员发布,如果侵犯了您的权益请与我们联系,我们将在24小时内删除!谢谢!

转载请注明: dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决

上一篇:织梦中不同的栏目,调用不同的banner图的几种方法
下一篇:dede:list及dede:arclist调用系统变量和自定义变量
标签:  
相关文章
推荐文章
排行榜
模板推荐
热门标签

本站转载作品版权归原作者及来源网站所有,原创内容作品版权归作者所有,任何内容转载、商业用途等均须联系原作者并注明来源。相关侵权、举报、投诉及建议等,请发E-mail:379144319@qq.com

Copyright © 2002-2011 滕州素材无忧网络科技有限公司 版权所有nbsp; 鲁ICP备16003892号-6鲁公网安备37048102006483号