阿里云提示织梦dedecms模版SQL注入漏洞修复方法

很多用户用到阿里云服务器，会经常碰到各种安全提示，不得不说阿里云这一块做的还是很不错的。今天介绍下【阿里云提示织梦dedecms模版SQL注入漏洞修复方法】。

问题原因：dedecms的/member/soft_add.php中，对输入模板参数$servermsg1未进行严格过滤，导致攻击者可构造模版闭合标签，实现模版注入进行GETSHELL。

关于织梦dedecms模板SQL注入漏洞修复方法，主要是文件/member/soft_add.php。

搜索： $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";   (大概在154行左右)

替换成  

if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) { $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n"; } 

老规矩大红色地方标记了修改的地方，然后保存，接着备份原文件，然后上传修改好的文件即可。

上一篇：阿里云服务器提示织梦/include/uploadsafe.inc.php漏洞修复方法

下一篇：阿里云服务器提示dedecms cookies泄漏导致SQL漏洞解决办法