DedeCMS教程：投票模块漏洞解决方法

DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除，经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换，导致不法分子sql注入。只要讲addslashes()改为mysql_real_escape_string()即可。

打开/include/dedevote.class.php文件，查找$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

修改为

$this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

注：

* addslashes() 是强行加\；

* mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5)

* mysql_escape_string不考虑连接的当前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已经弃用这种方法，不推荐使用)

上一篇：DEDECMS教程：后台验证码图片不显示的多种解决方

下一篇：dedecms教程：在首页调用文章页全部内容的方法

免责声明：本站所有文章和图片均来自用户分享和网络收集，文章和图片版权归原作者及原出处所有，仅供学习与参考，请勿用于商业用途，如果损害了您的权利，请联系网站客服处理。

来源：网友投稿关注：时间：2021-03-25 08:44

☉首先声明，只要是我们的vip会员所有源码均可以免费下载，不做任何限制(了解更多)
☉本站的源码不会像其它下载站一样植入大量的广告。为了更好的用户体验以后坚持不打水印
☉本站只提供精品织梦源码，源码在于可用，不在多！！希望在这里找到你合适的。
☉本站提供的整站织梦程序，均带数据及演示地址。可以在任一源码详情页查看演示地址
☉本站所有资源（包括源码、模板、素材、特效等）仅供学习与参考，请勿用于商业用途。
☉如有其他问题，请加网站客服QQ进行交流。