dedecms注入（Dedecms注入工具）_织梦dedecms教程-CMS网站吧

本文目录一览：

云盾一直有问题，阿里云的。。。。个人感觉是为了推销其产品，不管是更新了补丁还是删除了文件，在一定时间段类都会提示！！！！

dedecms注入（Dedecms注入工具）

我看了下该表dede_archives的mtype字段类型是mediumint，于是加了个判断:

221行，找到这个源代码位置:

//保存到主表

$inQuery = "INSERT INTO `dede_archives`(id,typeid,sortrank,flag,ismake,channel,arcrank,click,money,title,shorttitle,

color,writer,source,litpic,pubdate,senddate,mid,description,keywords,mtype)

VALUES ('$arcID','$typeid','$sortrank','$flag','$ismake','$channelid','$arcrank','0','$money','$title','$shorttitle',

'$color','$writer','$source','$litpic','$pubdate','$senddate','$mid','$description','$keywords','$mtypesid'); ";

修改为:

//保存到主表

if(!is_int($mtypesid)) exit();

$inQuery = "INSERT INTO `dede_archives`(id,typeid,sortrank,flag,ismake,channel,arcrank,click,money,title,shorttitle,

color,writer,source,litpic,pubdate,senddate,mid,description,keywords,mtype)

VALUES ('$arcID','$typeid','$sortrank','$flag','$ismake','$channelid','$arcrank','0','$money','$title','$shorttitle',

'$color','$writer','$source','$litpic','$pubdate','$senddate','$mid','$description','$keywords','$mtypesid'); ";

改下路径只要是关于保密的全部改了然后更新下补丁不行了重新安装然后恢复数据就好了

这个漏洞是织梦cms 2013-9-22爆出的一个sql注入漏洞，解决办法其实很简单。你只要打了织梦最新补丁即可。如果你进行了二次开发请提前做好备份。更多织梦安全的设置可以去织梦云官网看下：织梦只要设置后还是很安全的。

如果只需要展示功能，保留静态页就好，每次更新上传后台和include文件，上传后删除文件。要是自己的服务器，就把后台目录放到其他文件夹里，每次更新复制过来，更新后删除。这样是最安全的。

dedecms的漏洞不少，补来补去，不如釜底抽薪。

过滤一些常见的数据库操作关键字,

select ,insert,update,delete,and,*等或通过系统函数addslashes对内容进行过滤

php配置文件中register_globals=off;设置为关闭状态.(作用将注册全局变量关闭);如接收POST表单的值使用$_POST['user'],假设设置为ON的话$user才接收值

sql语句书写的时候尽量不要省略小引号(tab上面那个)和单引号

提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,使之不易被猜中

对于常的方法加以封装,避免直接暴漏SQL语句

开启PHP安全模式safe_mode=on

打开magic_quotes_gpc来防止SQL注入,默认为关闭,开启后自动把用户提交sql查询语句进行转换把"'"转换成"\'"

控制错误信息输出,关闭错误信息提示,将错误信息写到系统日志

使用MYSQLI或PDO预处理