- 百度降权查询及诊断恢复
- 网站友情连接的基本技巧 站长必读连接策略
- 分析现在个人站长还有什么类型的网站可以做
- 美国主机地理分布图及其速度测试
- 网站建设类网站怎样才能自然排名第一
- 案例分享:社会信号的搜索引擎优化指南
- 运营不误砍柴功 构建网站好环境
- Google Analytics实用篇 3组常用的高级群体
- 虐心历程:从一个菜鸟SEO成为一个专业SEO
- SEO优化:怎么样制作优秀的SEO优化月报表
- 从组团消费模式 看团购网前期的运营
- 谈谷歌ADSense联盟作弊危害性及解决办法
- 用 Google Trends评估网站吸引力
- Dreamweaver量身打造Wordpress留言板(三)
- 对百度《谈谈原创项目那点事》的一些看法
- 做好一个网站的必要前提 树立网站的作用力
- 用户对你网站的“三分天下”
- NetworkSolutions最新详细域名注册图文教程
- 淘宝经营策略之提升用户体验要素的8点技巧
- 新站长需遵守的八大建站原则
- 怎么利用品牌打造自己的行业站
- 微信公众号代运营是怎么个操作流程
- UEO用户体验优化之广告着陆页的优化
- 专业网站 IP从800到8000
- 哥做的不是电影网,是电影城网!
- 浅析Web前端开发行业的发展
- 请谨慎在robots.txt中增加sitemap链接
- 浅谈站长如何写一篇为自己网站添色彩的软文
- 创业如何选择WEB开发语言
- 面对百度绿萝算法2.0,站长们该如何应对
DedeCMS投票模块漏洞解决方法
DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除,经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换,导致不法分子sql注入。只要讲addslashes()改为mysql_real_escape_string()即可。
打开/include/dedevote.class.php文件,查 找$this->dsql->ExecuteNoneQuery("UPDATE `#@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");
修改为
$this->dsql->ExecuteNoneQuery("UPDATE `#@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");
注:
* addslashes() 是强行加\;
* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;(PHP 4 >= 4.0.3, PHP 5)
* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意:在PHP5.3中已经弃用这种方法,不推荐使用)
转载请注明出处:http://www.ios100.net/open/dedecms/15830.html
- 上一篇文章: 外链建设不当可能是导致网站的降权祸首之一
- 下一篇文章: 网站优化勿过度 发现问题马上改