DedeCMS投票模块漏洞解决方法

分享文章
参与评论
撤稿纠错
首页 > 经验 > 关键词 > dedecms最新资讯 > 正文

DedeCMS投票模块漏洞解决方法

2013-04-24 16:04 · 稿源:www.ios100.net

DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除,经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要讲addslashes()改为mysql_real_escape_string()即可。

打开/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `#@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

修改为

$this->dsql->ExecuteNoneQuery("UPDATE `#@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

注:

* addslashes() 是强行加\;

* mysql_real_escape_string()  会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)

* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)

转载请注明出处:http://www.ios100.net/open/dedecms/15830.html

网友热搜:

dedecms手册教程dedecms模板教程dedecms采集侠安装dedecms防挂马dedecms安全版dedecms不生成htmldedecms 系统优化dedecms适合seo吗dedecms wordpressdedecms漏洞webshell
  • 相关推荐
  • 大家在看
关键词:

  • Windows Insider现启用Dev/Beta/Release Preview新名称

    ​从某种角度来说,Windows 10 的成功很大程度上归功于 Windows Insider 项目的良性循环。该项目不仅让用户提前体验各种新功能,也帮助微软构建了完善的测试系统和反馈机制。在成功运行超过五年之后,近日微软宣布对 Windows Insider 项目进行一些调整。

    Windows 微软 Preview

  • 焦点聚集DeFi,OKEx“项目小指南”

    近期,DeFi成为研究者及投资者重点关注的项目。6月29日,OKEx CEO Jay Hao在社群直播时表示:“OKEx一直都在关注DeFi的生态发展,早在19年末就对接MakerDao的DSR,以OKEx作为入口向用户提供DeFi的服务,同时OKEx也发起了自己的公链项目OKChain。”在提及DeFi安全性问题时,Jay Hao表示:“这并不会成为DeFi发展的瓶颈并且OKChain会重点发力在该领域,发展更加安全和高性能的DeFi生态服务。”DeFi是去中心化金融(decentralized finan

    OKEx 虚拟货币

  • 黑曜石新作《Grounded》将玩家变成蝼蚁

    为防止玩家吓尿,黑曜石贴心地在游戏中设置了蜘蛛恐惧症缓解模式,滑动杆调整值越高,蜘蛛就越萌:开发单位表示外形变化只起示意作用,不影响实际体验及游戏难度。如果玩家依然无法战胜恐

    黑曜石 多动症

  • 特斯拉Model Y开启国际交付

    DoNews 6月11日消息(记者 刘文轩)特斯拉(Tesla)周二正式开始首款Model Y车辆国际交付。Teslarati发现,已经有加拿大温哥华的客户在Instagram上展示他们购买的最新款特斯拉全电动汽车。该车主在Instagram分享了一张照片,照片中有一辆深蓝色Model Y被送到加拿大新车主的手中。特斯拉温哥华展厅顾问Charlie Wang也证实了这一消息,Model Y在6月开始在温哥华交货。Model Y长续航版本在加拿大的起步价为75990加元,约59720美元;性

    特斯拉

  • 特斯拉弗里蒙特工厂Model 3总装线或有减少 一条改为Model Y总装线

    6月10日消息,据国外媒体报道,特斯拉位于加州弗里蒙特的组装工厂,在今年一季度已开始组装去年3月份推出的跨界运动型多用途汽车Model Y,部分幸运的消费者已经收到了他们此前预订的这一款电动汽车。特斯拉跨界运动型多用途汽车Model Y但从外媒最新的报道来看,弗里蒙特工厂的Model Y总装线,可能是此前用于组装Model 3的生产线。弗里蒙特工厂Model Y总装线此前可能是Model 3总装线,源自外媒获得的特斯拉CEO马斯克的?

    特斯拉 特斯拉Model3 特斯拉ModelY

  • Xbox智能分发是什么 Smart Delivery有哪些服务

    微软游戏业务部门Xbox在近日公布了一个全新的服务——智能分发(Smart Delivery),这一个将上一代主机游戏延续到次世代主机的服务,具体服务内容是什么呢,我们来一起看下。

    Xbox Xbox智能分发 SmartDelivery

  • 加快DevOps流程:CFO和CISO如何一起工作

    Covid-19大流行带来了新的常态。远程工作和视频会议从未像现在这样流行。直接的结果是,云计算也从未如此流行。但是,需要注意的是需要全速迁移的人员。DivvyCloud的杰里米·斯奈德(Jeremy Snyder)在4月告诉该刊物 时 说,“人们真的很擅长创造东西,但不善于自我清理”,而 上个月 ,Pariveda Solutions副总裁玛格丽特·罗杰斯(Margaret Rogers)警告说:“知道去哪里很少能旅途更轻松”。在当今时代,安全比以?

    云计算 DevOps 云服务

  • 特斯拉Model 3国产性能规格公布,Model3高性能全轮驱动版详细介绍

    特斯拉Model3 国产性能规格怎么样?6 月 28 日晚,特斯拉中国在官网发布了Model3 高性能全轮驱动版车辆的国标工况续航里程,续航里程测试结果为635km,百公里加速时间为3. 4 秒,时速可达 261 公里/小时。

    特斯拉Model3国产 特斯拉

  • 马斯克:特斯拉并未开发搭载100kWh电池组的Model 3/Model Y

    6月17日消息,据国外媒体报道,此前,有传闻称,特斯拉正开发一款搭载100kWh电池组的Model 3/Model Y。对此,该公司CEO埃隆·马斯克予以否认。此前,一名叫“Zeus M3”的黑客访问了特斯拉Model 3的“工厂模式”(Factory Mode)。他在推特上分享的截图显示,有一款Model 3或者Model Y似乎搭载100kWh的电池组。这名黑客的爆料引发了许多猜测,其中最有趣的是有关车辆续航里程增加的猜测。目前,Model 3配备的电池组最高

    马斯克 特斯拉 特斯拉Model3

  • Zoom Video收盘创下新纪录 涨幅8.88%

    避难所股票周一上涨,跑赢大盘,由于国内外新出现的COVID-19案件再度兴起,Zoom Video Communications Inc.的股票收盘创下新纪录。变焦视频 US:ZM 周一,该股收于创纪录的239.02美元,涨幅8.9%,此前曾创下历史新高239.59美元。同时,标准普尔500指数 US:SPX 收盘上涨0.8%,科技含量高的纳斯达克综合指数 US:COMP 收盘上涨1.4%,从周一盘初的跌势中反弹。在美国,佛罗里达州和德克萨斯州等州的病例数再度飙升,导致COVID-19

    zoom 科技股 zoomvideo

  • OKEx旗下OKChain发布月报,OpenDEX进展喜人

    6 月 10 日,OKChain发布月报显示,OKChain公链技术方面,其测试网已升级至0. 10 版本,新增超级节点竞选及一票多投等功能。自 20018 年OKEx正式公布OKChain以来,作为全球顶级加密货币交易平台的明星产品,无论是首创的交易所公链双币系统,还是持续扩展的公链生态用户,一举一动都获得了市场的大量关注。OKChain是由OKEx研发推出的一条去中心化的、开源的公链,其目标是创建全世界任何人都能高效使用的公链系统,推动区块链技术?

    OKEx OKChain

  • DEX交易额较去年同期5倍增长,OKEx CEO Jay Hao 表示DEX与CEX不是竞争关系

    加密数据网站Dune Analytics数据显示,2020年上半年DEX平台的总交易额达到51亿美元,是2019年同期的5倍。而仅在今年6月,DEX的单月交易额就超过15亿美元。由此可见,投资者对于DEX的接受程度在不断地提高,越来越多的人希望通过DEX交易获取收益。那么DEX将如何发展的?DEX与CEX又有什么样的区别和优势?未来又会如何? OKEx分析师将会为大家进行介绍。中心化的数字货币交易所(CEX),实际上,至少从用户角度看数字货币交易所和银?

    DEX交易额

  • Decoverf皇家帝孚:涂鸦艺术,我想玩的更潮流!

    当家居失去了光鲜亮丽与涂鸦艺术相遇,多点想象力生活变重新恢复了生命力涂鸦作为一种具有大众性、交叉型的流行艺术,其感染力来自于字体的强烈变化和色彩的对比,以个性张扬的态度,颠覆传统的艺术观念及形式,不受诸多条条框框的限制,注重表达内心纯粹的需求。它的青春活力、自由奔放的笔触,不仅仅是一种炫酷的艺术,其本质更是在表达一种释放真我的精神。涂鸦艺术注重作品的视觉传达效果,在设计领域中,涂鸦中的图形流动感和

    Decoverf 涂鸦艺术

  • Decoverf皇家帝孚Workshop学术研讨会

    Decoverf皇家帝孚一年一度的Workshop学术研讨会正式开启。现场群英荟萃,行业内专业学者纷纷前来相互探讨学习。Workshop是由Decoverf皇家帝孚组织开办的专业学术研讨会,每年都会邀请一些在欧洲行业内知名的学者、设计师、从业人士等相关人员到场,并会对外开放少量参观名额,邀请感兴趣的消费者免费到研讨会体验、了解皇家帝孚的产品以及文化。Decoverf皇家帝孚开办学术研讨会的宗旨,是为了在行业内搭建一个互相学习、加强沟通、

    Decoverf

  • 特斯拉Model 3一季度成加州最畅销的汽车

    今年第一季度,特斯拉电动汽车Model3 成为加州最畅销的汽车。根据加州新车经销商协会截至今年 3 月 31 日, Model3车售出了 18856 辆。这个数字超过了任何竞争对手的汽车,甚至超过了大众市场的汽车和跨界车。

    特斯拉 特斯拉Model3 特斯拉汽车

  • 微信投票平台哪家好——看看微投票

    年中了,KPI做到了吗?没做到,赶快去做一个微信投票活动。目前微信投票评选活动有两种创建方法:一是微信平台自带的投票功能;二是通过第三方投票平台制作投票评选活动。因微信自带的投票系统太过简化,模板设计也过于单一,没有美感,功能也比较局限,所以运营者常会选择三方投票系统来创建活动。相比微信公众号自带的投票系统,第三方平台的模版多样美观,功能强大,操作简便,且营销能力强,能为公众号的引流和吸粉都能带来量?

    微信投票 微信投票平台

  • 特斯拉正式开始Model Y的国际交付 从加拿大开始

    【TechWeb】6月11日消息,据国外媒体报道,当地时间周二,电动汽车制造商特斯拉正式开始了Model Y的国际交付,首先从加拿大开始。特斯拉温哥华门店顾问Charlie Wang表示,该公司将从6月份开始在加拿大温哥华交付Model Y。特斯拉预计,将在2021年上半年的某个时候开始向欧洲和亚洲的主要市场进行Model Y的国际交付。特斯拉是在去年3月份推出Model Y的,这款车是一款跨界运动型多用途汽车,最多可搭载7名乘客,续航里程最高为300英?

    特斯拉 特斯拉ModelY ModelY

  • 马斯克证实:特斯拉正面临提高Model Y产量问题

    【TechWeb】6月9日消息,据国外媒体报道,电动汽车制造商特斯拉的CEO埃隆·马斯克在发给员工的一封电子邮件中证实,特斯拉正面临提高Model Y产量的问题。特斯拉是在去年3月份推出Model Y的,这款车是一款跨界运动型多用途汽车,最多可搭载7名乘客,续航里程最高为300英里(约482公里)。今年1月,特斯拉证实,该公司已开始在弗里蒙特工厂生产Model Y,这距离该公司推出这款车不到一年时间。今年3月,外媒报道称,该公司已经正式开

    马斯克 特斯拉 特斯拉ModelY

  • 杨柘入职小米后第一条微博:分享《Joie De Vivre》

    6月2日,小米正式官宣任命杨柘为小米集团副总裁、中国区首席营销官(CMO),负责中国区市场营销战略制定、品牌建设等工作。随后,杨柘本人也启用了荒废已久的个人微博,将认证修改为小米集团副

    小米 杨柘

  • MySQL从库实用技能教程 巧用slave_exec_mode参数

    MySQL从库实用技能教程,巧用slave_exec_mode参数。​想必从库异常中断的情况不在少数,其中报错信息中 1032 及 1062 的错误占了不少的比重。

    MySQL slaveexecmode MySQL教程
  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
点击参与评论

热文

  • 3 天
  • 7天

站长商机

商务合作 联系我们 广告服务 版权声明 招聘

©CopyRight 2002-2020 CHINAZ.COM