Lösung zur Dedecms-SESSION-Variablenabdeckung, die zur SQL-Injection common.inc.php führt

Dedecms SESSION-Variablenabdeckung führt zur SQL-Injection common.inc.php-Lösung:

Patch-Datei: /include/common.inc.php

Schwachstellenbeschreibung: In /plus/advancedsearch.php von dedecms wird der Wert direkt aus SESSION[SESSION[sqlhash] als $query abgerufen und in die SQL-Abfrage eingebracht Das Ausnutzen dieser Sicherheitslücke besteht darin, dass session.auto_start = 1 eine automatische SESSION-Sitzung startet. Das Cloud Shield-Team hat einen allgemeinen, einheitlichen Schutz im Variablenregistrierungseingang von dedemcs implementiert, der den Eingang von SESSION-Variablen verhindert

dedecms SESSION-Variable führt zur Lösung der SQL-Injection common.inc.php

1. Suchen Sie nach dem folgenden Code (Zeile 68):

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )

2. Ersetzen Sie 68 Codezeilen. Der Ersatzcode lautet wie folgt:

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )

Bitte sichern Sie die Datei vor dem Ändern und fügen Sie das neue /include/common hinzu. Dieses Problem kann durch Hochladen und Ersetzen der Datei inc.php auf dem Alibaba Cloud-Server gelöst werden.

Das obige ist der detaillierte Inhalt vonLösung zur Dedecms-SESSION-Variablenabdeckung, die zur SQL-Injection common.inc.php führt. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!