Heim >Backend-Entwicklung >PHP-Tutorial >Lösung zur Dedecms-SESSION-Variablenabdeckung, die zur SQL-Injection common.inc.php führt
Dedecms SESSION-Variablenabdeckung führt zur SQL-Injection common.inc.php-Lösung:
Patch-Datei: /include/common.inc.php
Schwachstellenbeschreibung: In /plus/advancedsearch.php von dedecms wird der Wert direkt aus SESSION[SESSION[sqlhash] als $query abgerufen und in die SQL-Abfrage eingebracht Das Ausnutzen dieser Sicherheitslücke besteht darin, dass session.auto_start = 1 eine automatische SESSION-Sitzung startet. Das Cloud Shield-Team hat einen allgemeinen, einheitlichen Schutz im Variablenregistrierungseingang von dedemcs implementiert, der den Eingang von SESSION-Variablen verhindert
dedecms SESSION-Variable führt zur Lösung der SQL-Injection common.inc.php
1. Suchen Sie nach dem folgenden Code (Zeile 68):
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
2. Ersetzen Sie 68 Codezeilen. Der Ersatzcode lautet wie folgt:
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
Bitte sichern Sie die Datei vor dem Ändern und fügen Sie das neue /include/common hinzu. Dieses Problem kann durch Hochladen und Ersetzen der Datei inc.php auf dem Alibaba Cloud-Server gelöst werden.
Das obige ist der detaillierte Inhalt vonLösung zur Dedecms-SESSION-Variablenabdeckung, die zur SQL-Injection common.inc.php führt. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!