dede仿站 51仿站主页 > dede仿站 >

织梦dedecms漏洞修复大全含任意文件上传漏洞与注入漏洞

很多人说dedecms不好，因为用的人多了，找漏洞的人也多了，那么如果我们能修复的话，这些都不是问题，今天乐清网站建设的赵老师就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php；SQL注入漏洞包含5个文件/include/filter.inc.php /member/mtypes.php /member/pm.php /plus/guestbook/edit.inc.php /plus/search.php。

好，我们来一个一个修复。修复方法都是下载目录下该文件，然后替换或添加部分代码，保存后上传覆盖(记得先备份)，这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码，或者修改过这几个文件，然后直接修改的部分被替换掉，那之前就白改了，找起来也非常的麻烦。如果你搜索不到，看行数，找相近的，然后将我标记红色的部分复制到对应仿站位置。

任意文件上传漏洞修复

一、/include/dialog/select_soft_post.php文件，搜索(大概在72行的样子)

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;

修改为

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止！",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$activepath.'/'.$filename;;

(SQL)注入漏洞修复

一、 /include/filter.inc.php文件，搜索(大概在46行的样子)

return $svar;

修改为

return addslashes($svar);

二、/member/mtypes.php文件，搜索(大概在71行的样子)

$query = "UPDATE `dede_mtypes` SET mtypename='$name' WHERE mtypeid='$id' AND mid='$cfg_ml->M_ID'";

上一篇：dedecms调用二级栏目并实现channelartlist支持currentstyle属性

下一篇：dedecms织梦副栏目调用问题

来源：未知/所属分类： dede仿站 /更新时间：2019-10-24

[返回列表]

相关仿站教程：

Dede织梦上传中文文件不自动改名，保持原文件	织梦dedecms上传附件不自动改名的办法
织梦百度快照劫持注入代码防范	dedecms SQL注入漏洞 member/album_add.php
dedecms cookies泄漏导致SQL漏洞 /member/art	织梦dedecms会员中心自定义图片字段上传后无
织梦dede上传图片提示缺少图像源文件地址	织梦dede编辑器附件和自定义字段附件上传文件
dede图片集swf 上传使用图集的第一幅图作为缩	织梦DedeCMS common.inc.php文件SESSION变量
织梦dedecms编辑器上传图片怎么去掉宽度和高	DedeCMS 会员前台发布文章时上传附件类型的问

仿站咨询扫二维码

仿站教程推荐

猜你也喜欢看这些

相关链接：
复制本页链接
教程说明：
织梦dedecms漏洞修复大全含任意文件上传漏洞与注入漏洞。