现在位置: 首页 > CMS知识 > 正文

dedecms安全漏洞之plusguestbookedit.inc.php

发布时间:2022 年 4 月 6 日

本文作者:帮建站

点击次数:220

/plus/guestbook/edit.inc.php dedecms注入漏洞,其实就是留言版注入漏洞

没有对$msg过滤,导致可以任意注入

找到edit.inc.php文件第54行

$msg = HtmlReplace($msg, -1);

$dsql->ExecuteNoneQuery(“UPDATE `#@__guestbook` SET `msg`=’$msg’, `posttime`='”.time().”‘ WHERE id=’$id’ “);

ShowMsg(“成功更改或回复一条留言!”, $GUEST_BOOK_POS);

exit();

改为:

$msg = addslashes(HtmlReplace($msg, -1));

$dsql->ExecuteNoneQuery(“UPDATE `#@__guestbook` SET `msg`=’$msg’, `posttime`='”.time().”‘ WHERE id=’$id’ “);

ShowMsg(“成功更改或回复一条留言!”, $GUEST_BOOK_POS);

exit();

问题本身还是很简单的,只是对于不熟悉的网友来说不知道什么原因,如果英语不太好的话,就以为自己买了个假主题了。问题本身还是很简单的,只是对于不熟悉的网友来说不知道什么原因,如果英语不太好的话,就以为自己买了个假主题了。

标签:

首页 在线 手机