首页 > CMS知识 > 正文

dedecms安全漏洞之plusguestbookedit.inc.php

2018 年 12 月 27 日   来源:帮建站   浏览量: 21

/plus/guestbook/edit.inc.php dedecms注入漏洞,其实就是留言版注入漏洞

没有对$msg过滤,导致可以任意注入

找到edit.inc.php文件第54行

$msg = HtmlReplace($msg, -1);

$dsql->ExecuteNoneQuery(“UPDATE `#@__guestbook` SET `msg`=’$msg’, `posttime`='”.time().”‘ WHERE id=’$id’ “);

ShowMsg(“成功更改或回复一条留言!”, $GUEST_BOOK_POS);

exit();

改为:

$msg = addslashes(HtmlReplace($msg, -1));

$dsql->ExecuteNoneQuery(“UPDATE `#@__guestbook` SET `msg`=’$msg’, `posttime`='”.time().”‘ WHERE id=’$id’ “);

ShowMsg(“成功更改或回复一条留言!”, $GUEST_BOOK_POS);

exit();


标签:
上一篇:没有了 下一篇:

首页 在线 手机