最近很多人反馈说阿里云后台提示织梦common.inc.php文件SESSION变量覆盖漏洞会导致SQL注入,黑客可以直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,下面告诉大家怎么修复这个漏洞:

 

首先找到并打开/include/common.inc.php文件,在里面找到如下代码:

 

1 if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )

 

 

将其替换为如下代码:

 

1 if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )

 

 

修改完成后保存并替换原来的文件就可以了,希望对大家有所帮助。


1:本站所有内容收集于互联网,如果有侵权内容、请联系我们删除,不妥之处,敬请谅解
2:本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责
3:您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
4:本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新

相关推荐
春节期间最稳副业,做龙年AI图,各平台疯狂下载,流量超高【揭秘】

春节期间最稳副业,做龙年AI图,各平台疯狂下载,流量超高【揭秘】

230 阅读 ,0 评论
新蓝海赛道AI写真,零基础一分钟上手,一台手机日入300+【揭秘】

新蓝海赛道AI写真,零基础一分钟上手,一台手机日入300+【揭秘】

295 阅读 ,0 评论
暴力虚拟掘金,男杏刚需,0成本高单价,单月轻松过W【揭秘】

暴力虚拟掘金,男杏刚需,0成本高单价,单月轻松过W【揭秘】

271 阅读 ,0 评论
案例拆解课,拆解“带你搞钱”项目的底层逻辑

案例拆解课,拆解“带你搞钱”项目的底层逻辑

308 阅读 ,0 评论
您需要 登录账户 后才能发表评论

发表评论

快捷回复: 表情:
评论列表 (暂无评论,879人围观)

还没有评论,来说两句吧...