阿里云盾后台报织梦内容管理系统漏洞: 会员中心注入漏洞, 实际是一个任意文件类型的上传处理不当所导致的, 如何解决呢?
正常来说, 后台默认文件夹都叫dede, 那么出问题的文件默认位置应该在网站根目录下/dede/media_add.php下面
如果您之前害怕别人随随便便就进了后台, 改了文件夹名字, 那么把dede这个名字对应换掉即可。总之找到这个文件, 备份一档,再拿个编辑器打开。
找到其中一段代码
$fullfilename = $cfg_basedir.$filename;
在这一行的上面, 增加一段正则判断式, 屏蔽掉一些动态文件的上传, 具体代码如下:
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg('你指定的文件名被系统禁止!','java script:;');
exit();
}这样一来坏蛋就没办法利用这个漏洞来坏你。
有用
0
没用
1
开心
0
愤怒
0
可怜
0
1.如文章侵犯了您的版权,请发邮件通知本站,该文章将在24小时内删除;
2.本站标注原创的文章,转发时烦请注明来源;
3.Q群: 2702237 13835667
mac开发接入微信公众号接口返回报错 cURL error 56: SSLRead() return error -9806
PHP的换行符是什么
pecl安装程序时报错Array and string offset access syntax with curly braces is no longer supported
由于商家传入的H5交易参数有误,该笔交易暂时无法完成,请联系商家解决
