談起漏洞無憂主機(jī)小編就想到了dedecms的漏洞，在php空間里面運行一段時間之后，突然之前被各種掛黑鏈，被各種寫入文件，瞬間磁盤爆滿。只要是源碼程序高危的漏洞都是存在的，技術(shù)這個領(lǐng)域怎么說呢，您覺得您比較厲害，那么比您更厲害的人大有人在，但是這些NB的人物不可能一天做這些事情，所以不管怎么樣我們還是要了解一下程序的高危漏洞問題，今天無憂主機(jī)小編在黑客論壇里面去逛的時候，突然看見了一個phpcms的高危漏洞的說明。仔細(xì)看了一篇呢，通過無憂主機(jī)小編的理解從新編譯一下這篇文章，讓站長朋友們更加的能讀懂。 Phpcms存在的高危漏洞就是一旦進(jìn)去就可以對您的任意文件的讀取，包括數(shù)據(jù)庫文件，那么這個是最致命的，只要拿到這個文件之后那么就可以對其您的數(shù)據(jù)庫進(jìn)行操作了，因為他已經(jīng)拿到了數(shù)據(jù)庫的用戶名與密碼。無憂主機(jī)小編總結(jié)了一下可能要發(fā)生的問題： 1、數(shù)據(jù)庫泄漏 2、網(wǎng)頁被掛黑鏈或者是被篡改 3、文件的傳入。等等高危的問題。 那么出現(xiàn)這個問題無憂主機(jī)經(jīng)過認(rèn)真的解讀的話，主要是這個文件里面的代碼導(dǎo)致的：phpcms\modules\search\index.php，這個是文件讀取的漏洞，代碼如下：

public function public_get_suggest_keyword() {
$url = $_GET['url'].'&q='.$_GET['q'];

$res = @file_get_contents($url);
if(CHARSET != 'gbk') {
$res = iconv('gbk', CHARSET, $res);
}echo $res;}

根據(jù)這段代碼的解析，可以利用里面的值獲取權(quán)限從而得到文件的信息。所以說為了這個的方法，phpcms官方也做出了相應(yīng)的改善，就得到了我們最新版本的phpcms版本。那么下面無憂主機(jī)小編就談?wù)劷鉀Q方法： 1、到官方站點去下載phpcms最新的升級包，或者把重要的數(shù)據(jù)備份，然后下載最新版本進(jìn)行安裝，然后從新搭建出來，這個動作是非?？斓氖煜さ恼鹃L朋友一個小時完全可以搞定。 2、如果您不會操作這些，那么就用代碼的方式進(jìn)行解決，就是找到以上的那個代碼，然后進(jìn)行替換掉；代碼如下：

public function public_get_suggest_keyword() {
$url = $_GET['url'].'&q='.$_GET['q'];
$trust_url = array('c8430fcf851e85818b546addf5bc4dd3');
$urm_md5 = md5($url);
if (!in_array($urm_md5, $trust_url)) exit;
$res = @file_get_contents($url);
if(CHARSET != 'gbk') {
$res = iconv('gbk', CHARSET, $res);}
echo $res;}

3、如果您的vps主機(jī)，或者是能修改數(shù)據(jù)庫配置的那么就禁止外鏈數(shù)據(jù)庫操作這個也是臨時的解決方法，無憂主機(jī)小編還是建議進(jìn)行升級處理。 無憂主機(jī)小編希望解決方法能幫助到站長朋友們！ 無憂主機(jī)相關(guān)文章推薦閱讀： CKPLAYER與PHPCMS整合教程 PHPCMS V9教程：網(wǎng)站遷移需要修改的幾個地方 小編教您快速解決PHPCMS V9縮略圖上傳失敗方法

本文地址：http://www.gle-technology.com/phpcms/19729.html

上一篇: 米拓5.3最新版本程序如何在網(wǎng)站底部顯示出添加分享按鈕
下一篇: WordPress替換Emoji表情源，解決谷歌加載慢的問題