dedecms教程:浅析织梦系统投票模块漏洞的解决方

打开/include/dedevote.class.php文件,查 找$this-dsql-ExecuteNoneQuery(quot;UPDATE `dede_vote` SET totalcount='quot;.($this-VoteInfos+1).quot;',votenote='quot;.addslashes($items).quot;' WHERE aid='quot;.$this-Vote ... ,魔客吧
打开/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

修改为
$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

注:
* addslashes() 是强行加\;

* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)

* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)
本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

1、 改变织梦data目录位置。 data目录用于存放织梦系统一些重要的配置文件与数据,应该予以重点保护。具体操作步骤为: 1) 新建一目录用于存放data目录,如mydataabc,将DATA目录移动到