织梦DedeCMS投票模块漏洞的解决方法

发布时间：2020-12-14 05:13:38 所属栏目：Dedecms 来源：网络整理

导读：我们找到并打开/include/dedevote.class.php文件，在里面查找如下代码： ? 1 $this-dsql-ExecuteNoneQuery( "UPDATE `#【分隔符】@__vote` SET totalcount='" .($this-VoteInfos['totalcount ']+1)."' ,votenote= '".addslashes($items)."' ? WHERE aid= '".

我们找到并打开/include/dedevote.class.php文件，在里面查找如下代码：

							
											1

											$this->dsql->ExecuteNoneQuery("UPDATE `#【分隔符】@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."'?WHERE aid='".$this->VoteID."'");

修改为如下代码：

'".mysql_real_escape_string($items)."''".mysql_real_escape_string($this->VoteID)."'


	注：

	1.复制的时候自行去掉里面的【分隔符】

	2.addslashes()的意思是强行加；

	3.mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3,PHP 5)

	4.mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3,PHP 5,注意：在PHP5.3中已经弃用这种方法，不推荐使用)
                        （编辑：李大同）
【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!