站长之家 - 站长资讯 - 易采站长站

当前位置: > 建站教程 > 源码教程 > CMS 教程 >

dedecms后台文件media_add.php任意上传漏洞解决办法

2017-09-08 11:53 | 来源:易采源码网 | 编辑:秋军 |

最近很多人反馈说阿里云后台提示织梦common.inc.php文件SESSION变量覆盖漏洞会导致SQL注入,黑客可以直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,下面告诉大家怎么修复这个漏洞:

 

首先找到并打开/include/common.inc.php文件,在里面找到如下代码:

 

1 if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )

 

 

将其替换为如下代码:

 

1 if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )

 

 

修改完成后保存并替换原来的文件就可以了,希望对大家有所帮助。

  • dedecms教程:定时生成站点地图sitemap.xml-DedeCms教程
  • 织梦CMS上传服务器后出现数据连接失败是怎么回事如何解决-DedeCms教程
  • 织梦DEDECMS 计划任务使用教程-DedeCms教程
  • ECSHOP后台二次开发模块教程一-ECshop教程
  • DEDECMS自定义表单加入验证码问题修正-DedeCms教程
  • 分享Dedecms的一些seo优化简单技巧-DedeCms教程
  • 怎么解决DedecmsV5.7 SP1广告不能显示-DedeCms教程
  • 谈谈怎样防止Dedecms被挂马的问题-DedeCms教程
  • ecshop后台商品列表显示商品缩略图-ECshop教程
  • DedeCMS 5.7不兼容PHP 5.4版本的解决办法-DedeCms教程
  • 网友评论

    关于我们 - 联系我们 - 广告服务 - 版权声明 - 人才招聘 - 友情链接 - 网站地图 - 帮助 - -

    CopyRight © 2010-2016 源码下载 easck.com , All Rights Reserved

    蒙公网安备 15052402000103号

    蒙ICP备14002389-1号