dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法_建站仿站，重庆模板建站，重庆仿站公司，重庆网站设计，重庆网页设计，重庆做网站，重庆网站建设一条龙全包

dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法

发布时间:2021-07-22 文章编辑：兴网(www.1yc.cn) 阅读次数: 次

文章摘要:dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法：补丁文件： /include/common.inc.php 漏洞描述：dedecms的/plus/advancedsearch.php中，直接从SESSIO

dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法：

补丁文件：/include/common.inc.php

漏洞描述：dedecms的/plus/advancedsearch.php中，直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询，这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话，云盾团队在dedemcs的变量注册入口进行了通用统一防御，禁止SESSION变量的传入

dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法

1、搜索如下代码（68行）：

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )

2、替换 68 行代码，替换代码如下：

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )

修改前请备份好文件，将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题

关键词：dedecms,SESSION,变量,覆盖,导致,SQL,注标签：

更多资讯请收藏关注网站模板(www.1yc.cn)

织梦生成时出现 DedeTag Engine Create File False更新栏目时出现 DedeTag Engine Create File ... 2021-09-12

dedeCMS 站内搜索代码的改进方法要用好织梦的站内搜索，必须要明白织梦CMS搜索页面和代码调用方式。 1... 2021-08-09

dedecms织梦给arclist列表自动编号的方法(自增变量autoindex) 2021-07-27

dede数据库内容替换使用技巧dedecms带有一个非常有用的功能：数据库内容替换；很多人不知道他有... 2021-07-27

Dede下载频道不显示下载次数解决方法现在dede版本的下载频道都无法统计下载次数官方也没有提供解决的办法我... 2021-08-09

Dedecms提示ereg_replace() is deprecated错误织梦Dedecms提示 ereg_replace() is depre... 2021-08-09

织梦首页和列表页动态调用点击次数方法以前在《织梦文章页调用文章浏览次数优化调用代码》里中，在织梦的内容页面... 2021-07-22

Dedecmsdedecms:pagebreak 分页控制数量很多织梦Dedecms建站的朋友会碰到这样的问题，想让内容页分页的样式... 2021-08-09

dedecms 内容页调用动态浏览次数会卡顿、解决方案 2021-07-22

织梦模板(dedecms)字符串内容截取函数代码方法在织梦（即dedecms）二次开发以及网站建设时，我们经常会用到字符串... 2021-07-22

Dedecms总结：如何取消各种登录验证码显示使用dedecms建站的朋友想必程序都升过级了吧，当然了，有新版本肯定... 2021-08-14

织梦网站自动跳转到手机站/m目录的办法按照官方的写法，代码如下：跳转到手机站首页代码（需要加到pc站头部中... 2021-07-27

织梦模板DeDeCms列表页隔行换色标签代码教程 2021-07-22

织梦dedecms修改tag标签默认12个字节的长度 2021-07-30

加快织梦dedeCMS内容生成速度方法大家会经常碰到这样的问题，如果织梦后台文档比较多，数据比较大的时候，生... 2021-07-27

dedecms织梦文章内容提取图片(多张)自定义输出织梦里图集模型有批量上传图片功能，有时我们要做商品图库需要用到图集，但... 2021-07-22

织梦DedeCMS通过Tag标签获取相关文章织梦的相关文章是根据tag和文章关键词来的，不过效果不是特别的好，获取... 2021-08-14

dedecms自动审核会员发表的最新文章实现方法本文介绍了dedecms中自动审核会员发表的最新文章的方法，DEDE的... 2021-07-22

dedecms教程：织梦出现\dedesql.class.php 的解决方法安装dede，UTF-8时，最后不能显示网站后台和首页，报错了！登陆... 2021-07-22

DeDeCMS后台批量修改替换sql语句大全有时候后台文章内容、标题或者锚文本出错，需要修改批量修改，那么就需要用... 2021-07-30

高端仿站

行业分类

行业选择

色调选择

建站教程

规格选择

兴网品牌设计-专注PHP/ASP做网站，建设网站、定制网站，模板建站、仿站设计服务，10年3000+客户证明可以为您服务！

淘宝担保交易，放心，省心，不满意全额退款！渝ICP备06008488号-1 渝ICP备20002137号-1 重庆傲城网络科技有限公司版本所有

渝公网安备 50011802010744号

免责声明：本站所有资源搜集整理于互联网或者网友提供，仅供学习与交流使用，如果不小心侵犯到你的权益，请及时联系我们删除该资源。返回首页

网站建设，制作、设计、仿站业务主要面向重庆、四川、贵州、云南等全国地区，你把我们当朋友，我们为朋友可以像狼一样去战斗！

在线交流

咨询热线：

135-0038-3336

在线客服：

微信交流：

公司官网： www.1yc.cn