站长教程»织梦教程»

漏洞文件路径：/include/payment/alipay.php 漏洞描述：SQL注入数据库，风险极高。 解决办法：使用Notepad++编辑打开alipay.php 1、搜索如下代码（137行左右）： $order_sn = trim($_GET[‘out_trade_no’]); 替换 68 行代码，替换代码如下： $order_sn = trim(addslashes($_GET[‘out_trade_no’])); 修改前请备份好文件，将新的/include/payment/alipay.php 文件上传替换阿里云服务器上的即可解决此问题。

织梦教程

2020年6月10日

阅读数( 7 )

漏洞文件路径：/include/common.inc.php 漏洞描述：dedecms的/plus/advancedsearch.php中，直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询，这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话，云盾团队在dedemcs的变量注册入口进行了通用统一防御，禁止SESSION变量的传入。 解决办法：使用Notepad++编辑打开common.inc.php 1、搜索如下代码（68行）： if( strlen($svar)>0 && preg_match(‘#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#’,$svar) ) 替换 68 行代码，替换代码如下： if( strlen($svar)>0 ...

织梦教程

2020年6月10日

阅读数( 6 )

“dedecms上传漏洞”是一种常见的上传漏洞，百度搜索这个词很多都是没有直接告诉你解决办法的，以下办法可以为大家解决。 漏洞文件路径：/include/uploadsafe.inc.php 漏洞描述：常见漏洞，属于高危漏洞，推荐修复。 解决办法：使用Notepad++编辑打开uploadsafe.inc.php 1、搜索如下代码（42-43行之间）： if(empty(${$_key.’_size’})) { ${$_key.’_size’} = @filesize($$_key); } 在其下面添加如下代码： $imtypes = array(“image/pjpeg”, “image/jpeg”, “image/gif”, “image/png”...

织梦教程

2020年6月10日

阅读数( 7 )

漏洞文件路径：/include/dialog/select_soft_post.php 漏洞描述：获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉，属于高危漏洞。 解决办法：使用Notepad++编辑打开select_soft_post.php 1、搜索如下代码： $fullfilename = $cfg_basedir.$activepath.’/’.$filename; 在其上面添加如下代码： if (preg_match(‘#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i’, trim($filename))) { ShowMsg(“你指定的文件名被系统禁止！”,’javascript:;’); exit(); } 修改前请备...

织梦教程

2020年6月10日

阅读数( 4 )

漏洞文件路径：/include/dedesql.class.php 漏洞描述：变量覆盖漏洞会导致SQL注入，可被攻击者构造恶意SQL语句，重置管理员密码，写入webshell等，进而获取服务器权限。属于高危漏洞，迫切修复。 解决办法：使用Notepad++编辑打开dedesql.class.php 1、搜索如下代码（590行左右）： if(isset($GLOBALS[‘arrs1’])) 替换 590行左右 代码，替换代码如下： $arrs1 = array(); $arrs2 = array(); if(isset($GLOBALS[‘arrs1’])) 修改前请备份好文件，将新的/include/payment/alipay.php 文件上传替换阿里云服务器上的即可解决此问题。

织梦教程

2020年6月10日

阅读数( 5 )

还是那句话，做安全提前做好数据备份，以免操作失误可以恢复！ 一、修改默认后台名。 打开网站根目录，找到[dede]，这个文件夹就是后台的路径，可以随意修改，比如修改为[baoguangle]，此时后台登陆的路径为：http://www.xx.com/baoguangle/ 二、删除member文件夹（一般企业站都不需要会员功能的就直接删除掉）。 打开网站根目录，找到[member]，直接删除 三、删除special文件夹。 Special文件夹是专题的意思，首先登陆到网站后台查找“功能地图”查找，关于织梦专题的大致意思可以参考这篇文章：https://www.php.cn/cms/dedecms/426892.html，一般企业站都用...

织梦教程

2020年6月10日

阅读数( 3 )

“织梦源码”市面上8成都是用这个程序做的网站，网上教程一大堆，这里就不多说什么，简单提供几个方法重置管理员密码教程。 方法一、dede重置密码工具，自行下载根据网站编码“GBK”和“utf-8”上传到网站根目录下，然后“域名/radminpass.php”这样形式去访问。 重置后，记得把“radminpass.php”删除。ps：如何查看网站编码，大家可参考：view-source:https://www.eztwang.com/，“Ctrl+F”查询“GBK”和“utf-8”你会找到这2个的其中来判断网站编码格式。 方法二、大家下载“Navicat”使用这个工具连接数据库，进入找到“dede_admin”数据库表，双击就可以看到md5串码，e值...

织梦教程

2020年6月1日

阅读数( 8 )