Dedecms是一款現(xiàn)使用人數(shù)比較多的開源程序之一，它的功能強大，而且利于SEO優(yōu)化，很受大家的喜愛，無憂主機php空間中也有很多這款程序。但這款程序伴隨著一定的風險，那就是安全性很差，今天無憂小編就給大家講解一下如何防范織夢系統(tǒng)投票模塊防止SQL的注入，讓站長朋友們都解決一下后顧之憂。這里主要是將核心文件中的addslashes()改為mysql_real_escape_string()即可。 接下來就看操作步驟吧！ 首先，你要找到需要修改的文件dedevote.class.php，它在根目錄下的include文件夾內(nèi)，把該文件下載到本地后打開編輯，查找到代碼：

$this->dsql->ExecuteNoneQuery("UPDATE `#@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'");

并修改為：

$this->dsql->ExecuteNoneQuery("UPDATE `#@__vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'");

即可，這里修改完以后，保存一下，上傳到原文件夾內(nèi)，即可消除此隱患；如果你是開發(fā)者還可以了解到一些會用到的函數(shù)，如下： mysql_real_escape_string() 會判斷字符集，但是對PHP版本有要求；(PHP 4 >= 4.0.3, PHP 5) mysql_escape_string不考慮連接的當前字符集。(PHP 4 >= 4.0.3, PHP 5, 注意：在PHP5.3中已經(jīng)棄用這種方法，不推薦使用) 無憂主機相關(guān)文章推薦閱讀： DEDECMS被SQL注入：管理員登陸后臺提示用戶名不存在

本文地址：http://www.gle-technology.com/dedecms/18176.html

上一篇: ecshop數(shù)據(jù)庫表優(yōu)化經(jīng)驗分享
下一篇: DEDECMS經(jīng)驗：教你如何給文章添加“當前文檔地址”和“轉(zhuǎn)載說明”