談起漏洞無(wú)憂主機(jī)小編就想到了dedecms的漏洞，在php空間里面運(yùn)行一段時(shí)間之后，突然之前被各種掛黑鏈，被各種寫入文件，瞬間磁盤爆滿。只要是源碼程序高危的漏洞都是存在的，技術(shù)這個(gè)領(lǐng)域怎么說(shuō)呢，您覺(jué)得您比較厲害，那么比您更厲害的人大有人在，但是這些NB的人物不可能一天做這些事情，所以不管怎么樣我們還是要了解一下程序的高危漏洞問(wèn)題，今天無(wú)憂主機(jī)小編在黑客論壇里面去逛的時(shí)候，突然看見了一個(gè)phpcms的高危漏洞的說(shuō)明。仔細(xì)看了一篇呢，通過(guò)無(wú)憂主機(jī)小編的理解從新編譯一下這篇文章，讓站長(zhǎng)朋友們更加的能讀懂。 Phpcms存在的高危漏洞就是一旦進(jìn)去就可以對(duì)您的任意文件的讀取，包括數(shù)據(jù)庫(kù)文件，那么這個(gè)是最致命的，只要拿到這個(gè)文件之后那么就可以對(duì)其您的數(shù)據(jù)庫(kù)進(jìn)行操作了，因?yàn)樗呀?jīng)拿到了數(shù)據(jù)庫(kù)的用戶名與密碼。無(wú)憂主機(jī)小編總結(jié)了一下可能要發(fā)生的問(wèn)題： 1、數(shù)據(jù)庫(kù)泄漏 2、網(wǎng)頁(yè)被掛黑鏈或者是被篡改 3、文件的傳入。等等高危的問(wèn)題。 那么出現(xiàn)這個(gè)問(wèn)題無(wú)憂主機(jī)經(jīng)過(guò)認(rèn)真的解讀的話，主要是這個(gè)文件里面的代碼導(dǎo)致的：phpcms\modules\search\index.php，這個(gè)是文件讀取的漏洞，代碼如下：

public function public_get_suggest_keyword() {
$url = $_GET['url'].'&q='.$_GET['q'];

$res = @file_get_contents($url);
if(CHARSET != 'gbk') {
$res = iconv('gbk', CHARSET, $res);
}echo $res;}

根據(jù)這段代碼的解析，可以利用里面的值獲取權(quán)限從而得到文件的信息。所以說(shuō)為了這個(gè)的方法，phpcms官方也做出了相應(yīng)的改善，就得到了我們最新版本的phpcms版本。那么下面無(wú)憂主機(jī)小編就談?wù)劷鉀Q方法： 1、到官方站點(diǎn)去下載phpcms最新的升級(jí)包，或者把重要的數(shù)據(jù)備份，然后下載最新版本進(jìn)行安裝，然后從新搭建出來(lái)，這個(gè)動(dòng)作是非常快的熟悉的站長(zhǎng)朋友一個(gè)小時(shí)完全可以搞定。 2、如果您不會(huì)操作這些，那么就用代碼的方式進(jìn)行解決，就是找到以上的那個(gè)代碼，然后進(jìn)行替換掉；代碼如下：

public function public_get_suggest_keyword() {
$url = $_GET['url'].'&q='.$_GET['q'];
$trust_url = array('c8430fcf851e85818b546addf5bc4dd3');
$urm_md5 = md5($url);
if (!in_array($urm_md5, $trust_url)) exit;
$res = @file_get_contents($url);
if(CHARSET != 'gbk') {
$res = iconv('gbk', CHARSET, $res);}
echo $res;}

3、如果您的vps主機(jī)，或者是能修改數(shù)據(jù)庫(kù)配置的那么就禁止外鏈數(shù)據(jù)庫(kù)操作這個(gè)也是臨時(shí)的解決方法，無(wú)憂主機(jī)小編還是建議進(jìn)行升級(jí)處理。 無(wú)憂主機(jī)小編希望解決方法能幫助到站長(zhǎng)朋友們！ 無(wú)憂主機(jī)相關(guān)文章推薦閱讀： CKPLAYER與PHPCMS整合教程 PHPCMS V9教程：網(wǎng)站遷移需要修改的幾個(gè)地方 小編教您快速解決PHPCMS V9縮略圖上傳失敗方法

本文地址：http://www.gle-technology.com/phpcms/19729.html

上一篇: 米拓5.3最新版本程序如何在網(wǎng)站底部顯示出添加分享按鈕
下一篇: WordPress替換Emoji表情源，解決谷歌加載慢的問(wèn)題