欢迎来到CMS资源网,请先 登录注册

教程观看记录

资源投稿 | 网站地图 | 添加到桌面 | 收藏本站 |

主页 > 图文教程 > 织梦技巧教程 >
收 藏

推荐 织梦DedeCMS common.inc.php文件SESSION变量覆盖漏洞解决办法

所属栏目:织梦技巧教程 来源:CMS资源网 内容发布:土匪
Dedecms_Faq官方群:217479292哪怕群里没有一个人鸟你,还有 群主,管理员,跟你一起!! DedeCms_FAQ(官方群)

最近很多人反馈说阿里云后台提示织梦common.inc.php文件SESSION变量覆盖漏洞会导致SQL注入,黑客可以直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,下面告诉大家怎么修复这个漏洞:

 

首先找到并打开/include/common.inc.php文件,在里面找到如下代码:

 

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )

 

 

将其替换为如下代码:

 

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )

 

 

修改完成后保存并替换原来的文件就可以了,希望对大家有所帮助。

打赏一下,我们会为大家提供更多优质资源!

文章关键词:解决办法 DedeCMS变量覆盖漏

相关推荐
网友评论
下一篇:阿里云服务器云盾后台提示各种织梦DedeCMS漏洞以及修复办法汇总
上一篇:织梦dedecms支付模块漏洞导致SQL注入的解决办法

返回顶部