dedecms安全漏洞之/plus/guestbook/edit.inc.php如何解决?
2018-04-26 13:01
399 查看
打开 \plus\guestbook\edit.inc.php,搜索else if($job=='editok') 并修改为以下代码:
else if($job=='editok') { $remsg = trim($remsg); /* 验证$g_isadmin */ if($remsg!='') { //管理员回复不过滤HTML if($g_isadmin) { $msg = "<div class=\\'rebox\\'>".$msg."</div>\n".$remsg; //$remsg <br><font color=red>管理员回复:</font>} else { $row = $dsql->GetOne("SELECT msg From `a15_guestbook` WHERE id='$id' "); $oldmsg = "<div class=\\'rebox\\'>".addslashes($row['msg'])."</div>\n"; $remsg = trimMsg(cn_substrR($remsg, 1024), 1); $msg = $oldmsg.$remsg; } } /* */ /* 对$msg进行有效过滤 */ $msg = addslashes($msg); /* */ $dsql->ExecuteNoneQuery("UPDATE `a15_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' "); ShowMsg("成功更改或回复一条留言!", $GUEST_BOOK_POS); exit(); }
保存后上传。
相关文章推荐
- dedecms安全漏洞之/plus/guestbook/edit.inc.php如何解决?
- dedecms \plus\guestbook.php SQL Injection Vul By \plus\guestbook\edit.inc.php
- dedecms5.7最新sql注射漏洞利用 guestbook.php
- [通杀]dedecms plus/search.php 注入漏洞利用EXP
- Web_PHP_DedeCMS_{dede:arclist}标签不能嵌套包含{dede:global.cfg_templets_skin/},如何解决?
- dedecms /plus/feedback_ajax.php、/templets/feedback_main.htm、/templets/feedback_edit.htm XSS && SQL Injection Vul
- dedecms cookies泄漏导致SQL漏洞 inc_archives_functions.php 的解决方法
- dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法
- 织梦dedecms上传漏洞uploadsafe.inc.php修复方法
- dedecms织梦安装后COMMON.INC.PHP 文件权限777属性修改无效的解决方法
- 织梦dedecms后台文件media_add.php任意上传漏洞解决办法
- kangle 安全解决 PHP 跨站权限漏洞问题
- dedecms上传漏洞uploadsafe.inc.php 整理
- dedecms plus/search.php 注入漏洞利用EXP
- 织梦(Dedecms) V5.6 plus/carbuyaction.php 本地文件包含漏洞
- AppServe集成包安装后phpAdmin安全漏洞问题该如何解决?
- 织梦dedecms后台文件media_add.php任意上传漏洞解决办法
- 【安全牛学习笔记】基于PHP的SQL注入漏洞原理及解决办法
- 织梦dedecms上传漏洞uploadsafe.inc.php修复方法
- dedecms 5.7 最新 mytag_js.php的漏洞解决方法