最近很多人反馈说阿里云后台提示织梦common.inc.php文件SESSION变量覆盖漏洞会导致SQL注入,黑客可以直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,下面魔趣建站告诉大家怎么修复这个漏洞:
首先找到并打开/include/common.inc.php文件,在里面找到如下代码:
1 | if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) ) |
|
将其替换为如下代码:
1 | if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) ) |
|
修改完成后保存并替换原来的文件就可以了,希望对大家有所帮助。
历史资源提醒--必看
该页面资源/教程来自原魔趣吧历史资源转移,因发布历史久远,部分资源/教程可能已失效或无法在最新版程序中安装使用!DZ资源建议在Discuz3.4及以下版本使用,PHP版本建议5.6。本站不保证历史资源全部可用,请认真选择下载,历史资源不提供任何售后和技术支持,资源仅提供做代码研究学习使用!请勿用于其他非法用途。
因改版,部分贴内链接将无法正常跳转,如链接失效或未正常跳转,请利用站内搜索功能搜索资源名称获取对应资源!
帮助: DZ资源安装教程
默认解压密码
