dedecms SQL注入漏洞 member/album_add.php 修复

dedecms的/dedecms/member/album_add.php文件中，对输入参数mtypesid未进行int整型转义，导致SQL注入的发生。

打开文件：/member/album_add.php

找到代码：

$description = HtmlReplace($description, -1);//2011.06.30 增加html过滤（by:织梦的鱼）

修改为：

$description = HtmlReplace($description, -1);//2011.06.30 增加html过滤

$mtypesid = intval($mtypesid);

大功告成，修改文件前请做好文件备份。

推荐D盾—WEB查看工具：

软件使用自行研发不分扩展名的代码分析引擎，能分析更为隐藏的WebShell后门行为。

引擎特别针对,一句话后门，变量函数后门，${}执行，`执行，

preg_replace执行,call_user_func,file_put_contents,fputs 等特殊函数

来源：未知/所属分类： dede仿站 /更新时间：2021-12-24

相关仿站教程：

织梦百度快照劫持注入代码防范	织梦图片集从ZIP压缩包中解压图片BUG修复
dedecms cookies泄漏导致SQL漏洞 /member/art	织梦DedeCMS common.inc.php文件SESSION变量
织梦开启多站点支持后下载地址填https://出错	织梦dedecms漏洞修复大全含任意文件上传漏洞
阿里云提示：织梦dedecms 支付模块注入漏洞导	ueditor编辑器双引号 “”
阿里云提示织梦DedeCMS uploadsafe.inc.php上	织梦dedecms cookies泄漏导致SQL漏洞修复(201
dedecms的变量覆盖漏洞导致注入漏洞	DEDECMS防SQL注入代码防跨站提交方法