- 博客(46)
- 收藏
- 关注
RSS订阅
原创 织梦dedecms后台文件media_add.php任意上传漏洞解决办法
织梦在安装到阿里云服务器后阿里云后台会提示media_add.php后台文件任意上传漏洞,引起的文件是后台管理目录下的media_add.php文件,下面跟大家分享一下这个漏洞的修复方法: 首先找到并打开后台管理目录下的media_add.php文件,在里面找到如下代码: 1$fullfilename = $cfg_basedir.$filename;在其上面添加一段如下代码: 1...
2018-04-26 13:28:01
3110
1
转载 最好用的9个php开发工具推荐
对于PHP开发者,在互联网上有很多可用的开发工具,但对于初学者不知道哪个php开发工具比较好,找到一个合适的PHP开发工具是很难的,需要花费很多的时间精力。所以,今天php中文网就为初学者推荐几个2017年最好用的9个php开发工具。(php程序员工具箱 v0.1版本,点此下载:http://www.php.cn/xiazai/gongju/714)一、PHP开发工具排行1.SublimeText...
2018-04-18 10:06:36
15480
转载 微信小程序添加悬浮在线客服会话按钮
微信为小程序提供客服消息能力,小程序用户可以方便快捷地与小程序服务提供方进行沟通,并且已经做成了组件的形式,直接就可以调用。客服会话按钮,用于在页面上显示一个客服会话按钮,用户点击该按钮后会进入客服会话。那么如何自定义成悬浮客服会话按钮呢?随Z5Win一起来看看1.我们可以定义contact-button的样式,加一个class。这个客服组件可以放在一个固定模板里,方便每个页面都调用到。...
2018-09-06 17:03:13
5552
转载 dedecms数据库内容替换安全确认码不显示怎么解决
今天在网站迁移服务器时发现,dedecms数据库内容替换安全确认码无法显示,这个安全码的位置是在核心 - 批量维护 - 数据库内容替换,有个安全码填写,这里教你怎么直接忽略这个验证码。打开dede/sys_data_replace.php,找到以下代码(大约在45行),删除或者注释掉,这个时候我们再次进行数据库内容替换时就无需输入安全确认码了。// if($validate == "" |...
2018-09-06 16:48:20
1316
原创 dedecms安全漏洞之/plus/guestbook/edit.inc.php如何解决?
找到如下代码$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");替换成$msg = addslashes($msg); $dsql->ExecuteNoneQuery("UPDATE `dede_guest...
2018-08-18 10:12:20
3792
转载 织梦dedecms上传漏洞uploadsafe.inc.php修复方法
dedecms上传漏洞uploadsafe.inc.php,这里直接给出修复漏洞的方法,希望大家可以多学习。 今天分享的漏洞是一个关于织梦dedecms上传漏洞修复方法,主要是文件/include/uploadsafe.inc.php。 有2个地方: 1、搜索 ${$_key.'_size'} = @filesize($$_key); ...
2018-08-18 09:56:36
1744
转载 织梦dedecms后台文件media_add.php任意上传漏洞解决办法
织梦在安装到阿里云服务器后阿里云后台会提示media_add.php后台文件任意上传漏洞,引起的文件是后台管理目录下的media_add.php文件,下面跟大家分享一下这个漏洞的修复方法:首先找到并打开后台管理目录下的media_add.php文件,在里面找到如下代码: $fullfilename = $cfg_basedir.$filename;在其上面添加一段如下代...
2018-08-18 09:28:58
1092
转载 DedeCMS:CSRF Token Check Failed! 问题说明及解决方案
问题说明:当使用dede后台进行模板文件编辑的时候,会提示DedeCMS:CSRF Token Check Failed!内容,请注意不是系统BUG而是系统的一种安全防护。专业名称:CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。问题解决1、提示内容出现在...
2018-07-12 16:02:02
6538
原创 织梦dedecms之 /include/uploadsafe.inc.php文件
1、搜索 ${$_key.'_size'} = @filesize($$_key); } (大概在42,43行左右) 替换成 ${$_key.'_size'} = @filesize($$_key); } $imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/p...
2018-07-06 15:59:01
969
原创 织梦dedecms后台文件任意上传漏洞
/dede/media_add.php或者/你的后台名字/media_add.php搜索$fullfilename = $cfg_basedir.$filename;(大概在69行左右) 替换成 if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#...
2018-07-06 15:57:13
3237
原创 织梦DedeCms任意文件上传漏洞修复
一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子) $fullfilename = $cfg_basedir.$activepath.'/'.$filename; 修改为 if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)...
2018-07-06 15:55:41
2698
转载 鼠标经过事件(onmouseover)
鼠标经过事件,当鼠标移到一个对象上时,该对象就触发onmouseover事件,并执行onmouseover事件调用的程序。现实鼠标经过"确定"按钮时,触发onmouseover事件,调用函数info(),弹出消息框,代码如下:运行结果:...
2018-05-09 14:08:42
6205
转载 变量为初始化导致本地变量注入
/include/dedesql.class.php文件,搜索(大概在590行的样子) if(isset($GLOBALS['arrs1'])) 修改为 $arrs1 = array(); $arrs2 = array(); if(isset($GLOBALS['arrs1'])) 如果之前定义过$arrs1或$arrs2的,请调整比对代码。 至此...
2018-05-09 13:08:20
549
转载 支付模块注入漏洞
include/payment/alipay.php文件,搜索(大概在137行的样子) $order_sn = trim($_GET['out_trade_no']); 修改为 $order_sn = trim(addslashes($_GET['out_trade_no']));;
2018-05-09 13:07:54
420
转载 SESSION变量覆盖导致SQL注入漏洞
include/common.inc.php文件,搜索(大概在68行的样子) if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) ) 修改为 if( strlen($svar)>0 && preg_match('#^(cfg...
2018-05-09 13:07:24
1462
转载 (SQL)注入漏洞修复
一、 /include/filter.inc.php文件,搜索(大概在46行的样子) return $svar; 修改为 return addslashes($svar); 二、/member/mtypes.php文件,搜索(大概在71行的样子) $query = "UPDATE `dede_mtypes` SET mtypename='$name...
2018-05-09 13:06:53
7000
转载 任意文件上传漏洞修复
一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子) $fullfilename = $cfg_basedir.$activepath.'/'.$filename; 修改为 if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml...
2018-05-09 13:06:06
5443
转载 继续循环continue
continue的作用是仅仅跳过本次循环,而整个循环体继续执行。语句结构:for(初始条件;判断条件;循环后条件值更新){ if(特殊情况) { continue; } 循环代码}上面的循环中,当特殊情况发生的时候,本次循环将被跳过,而后续的循环则不会受到影响。好比输出10个数字,如果数字为5就不输出了。执行结果:注:上面的代码中,num=5的那次循环将被跳过。...
2018-05-09 11:30:24
664
转载 DedeCms重新安装
织梦系统(dedecms)的安装虽然简单,但是对于一些新手来说,难免会出现一些问题,还有一些新手站长在别的地方获取了网站模板,直接全部上传到FTP的web根目录,不需要安装就直接能打开网站,因为模板中附带了数据库,但是无法登陆后台控制网站,这就需要织梦重新安装了。 织梦cms怎么重新安装呢?今天我就来教教大家怎么从新安装织梦系统,其实很简单,就下面几个步骤,按照我的方法来做,肯定能行得通(附图)...
2018-05-07 15:42:33
1036
原创 织梦dedecms上传漏洞uploadsafe.inc.php修复方法
今天分享的漏洞是一个关于织梦dedecms上传漏洞修复方法,主要是文件/include/uploadsafe.inc.php。 有2个地方: 1、搜索 ${$_key.'_size'} = @filesize($$_key); }(大概在42,43行左右) 替换成 ${$_key.'_size'} = @filesize($$_key);...
2018-04-26 13:23:02
2813
原创 dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法
漏洞名称:dedecms cookies泄漏导致SQL漏洞补丁文件:/member/article_add.php补丁来源:云盾自研漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。解决方法搜索代码:if (empty($dede_fieldshash)...
2018-04-26 13:15:11
856
原创 dedecms cookies泄漏导致SQL漏洞 inc_archives_functions.php 的解决方法
漏洞名称:dedecms cookies泄漏导致SQL漏洞补丁文件:/member/inc/inc_archives_functions.php漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。解决方法1.打开\member\inc\inc_archiv...
2018-04-26 13:11:01
1565
原创 dedecms模版soft_add.phpSQL注入漏洞修复方法
dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。打开文件/member/soft_add.php,搜索(大概在154行):$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:lin...
2018-04-26 13:06:21
1009
原创 dedecms安全漏洞之/plus/guestbook/edit.inc.php如何解决?
打开 \plus\guestbook\edit.inc.php,搜索else if($job=='editok') 并修改为以下代码:else if($job=='editok') { $remsg = trim($remsg); /* 验证$g_isadmin */ if($remsg!='') { //管理员回复不过滤HTML if($g_isadmin) { $msg =...
2018-04-26 13:01:25
1695
原创 织梦DedeCMS select_soft_post.php任意文件上传漏洞解决办法
最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞,引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉,所以我们需要手动添加代码过滤,具体操作方法如下: 我们找到并打开/include/dialog/select_...
2018-04-26 11:55:01
6714
原创 dedecms安全漏洞之/include/common.inc.php漏洞解决办法
1.受影响版本DEDECMS 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。描述:目标存在全局变量覆盖漏洞。1.受影响版本DEDECMS 5.7、5.6、5.5。2.漏洞文件/include/common.inc.php3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。...
2018-04-26 11:49:25
4968
1
原创 织梦Dedecms的album_add.php文件SQL注入漏洞修复方法
dedecms的/dedecms/member/album_add.php文件中,对输入参数mtypesid未进行int整型转义,导致SQL注入的发生。修复方法:打开dedecms/member/album_add.php文件,查找以下代码(大约220行左右)$description = HtmlReplace($description, -1);//2011.06.30 增加html过滤 (by...
2018-04-26 11:37:35
3422
原创 DedeCMS v5.7 注册用户任意文件删除漏洞 /member/inc/archives_check_edit.php
漏洞名称:DedeCMS v5.7 注册用户任意文件删除漏洞 危险等级:★★★★★(高危) 漏洞文件:/member/inc/archives_check_edit.php 披露时间:2017-03-20 漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。 修复方法: 打开/member/inc/archives_check_edit.php 找到大概第92行的代码:$litpic...
2018-04-26 11:17:26
2080
原创 innerHTML 属性
innerHTML 属性用于获取或替换 HTML 元素的内容。语法:Object.innerHTML注意:1.Object是获取的元素对象,如通过document.getElementById("ID")获取的元素。2.注意书写,innerHTML区分大小写。我们通过id="con"获取<p> 元素,并将元素的内容输出和改变元素内容,代码如下:结果:...
2018-04-25 16:36:47
414
原创 JavaScript-关闭窗口(window.close)
close()关闭窗口用法:window.close(); //关闭本窗口或<窗口对象>.close(); //关闭指定的窗口例如:关闭新建的窗口。<script type="text/javascript"> var mywin=window.open('http://www.xxx.com'); //将新打的窗口对象,存储在变量mywin中 mywi...
2018-04-25 16:06:11
3144
原创 JavaScript-打开新窗口(window.open)
open() 方法可以查找一个已经存在或者新建的浏览器窗口。语法:window.open([URL], [窗口名称], [参数字符串])参数说明:URL:可选参数,在窗口中要显示网页的网址或路径。如果省略这个参数,或者它的值是空字符串,那么窗口就不显示任何文档。窗口名称:可选参数,被打开窗口的名称。 1.该名称由字母、数字和下划线字符组成。 2."_top"、"_blank"、"...
2018-04-25 15:49:42
565
原创 ThinkPHP3.2.3 连接数据库的设置
ThinkPHP3.2.3 连接数据库的设置,修改模块的配置文件,并设置连接数据库的相关信息。打开项目目录的配置文件Application/Home/Conf/config.php,添加数据库信息代码:return array( //'配置项'=>'配置值' 'DB_TYPE'=>'mysql', //数据库类型 'DB_HOST'=>'loca...
2018-04-24 13:22:39
6391
转载 thinkphp5.0目录结构
目录结构下载最新版框架后,解压缩到web目录下面,可以看到初始的目录结构如下:project 应用部署目录├─application 应用目录(可设置)│ ├─common 公共模块目录(可更改)│ ├─index 模块目录(可更改)│ │ ├─config.php 模块配置文件│ │ ├─common....
2018-04-21 09:56:08
321
转载 织梦自定义表单做网站在线留言
织梦自定义表单功能是十分强大的,用来做一些在线报名,在线留言,客户反馈等一些需要提交的后台的功能十分方便。操作起来也很简单,下面就一晴天做的一个在线留言功能为例,说下自定义表单怎样使用1.登录织梦后台依次点击 后台 》 核心 》自定义表单 》增加新的自定义表单2.进去以后如下图,然后把自定义表单名称改成在线留言,其他的默认即可3.这样一个自定义表单就建好了,接着开始给表单添加字段,如下图4.下...
2018-04-18 17:00:21
926
转载 redis常见使用场景下PHP实现
在 http://www.redis.net.cn/ 能找到所有关于redis的信息,包括安装、命令、在编程语言中的使用等等。这里就不讲如何安装redis了,因为在上面的网站中都能找到。下面直接讲redis是如何在php中使用的,这里我选择的是phpredis扩展。1. 下载phpredis扩展 执行phpinfo()函数,根据下面截图中的“NTS”和“VCn”选择对应的压缩包,https...
2018-04-18 10:11:37
408
转载 PHP操作redis
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis支持的数据类型有 Stirng(字符串), List(列表), Hash(字典), Set(集合), Sorted Set(有序集合);redis版本是Redis 2.6.12 系统是在Windows+Apache2.4+php5.6连接:1 ...
2018-04-18 10:08:28
100
转载 Windows环境下PHPstudy的安装步骤图文教程
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境·该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等·总之学习PHP只需一个包。对学习PHP的新手来说,WINDOWS下环境配置是一件很困难的事;对老手来说也是一件烦琐的事。因此...
2018-04-17 10:03:57
2188
转载 PhpStudy集成环境升级MySQL数据库版本的方法
很多人都疑惑在phpstudy里怎么升级mysql数据库版本,phpstudy里没有地方可以设置啊,这篇就来教你如何在phpstudy中升级mysql的版本。PhpStudy集成环境中的mysql数据库的版本默认是mysql5.5,下面是PhpStudy升级数据库到mysql5.7的方法:1:备份当前数据库数据,可以导出数据库文件,作为备份。2:备份 PhpStudy 下的 MySQL 文件夹、以...
2018-04-17 10:02:40
1235
转载 phpstudy安装及使用教程
对于程序员来说,phpstudy是一个非常好用的PHP调试环境集成包,包含了最新的Apache和PHP等程序,对学习PHP的新手来说,WINDOWS下环境配置是一件很困难的事;对老手来说也是一件烦琐的事。因此无论你是新手还是老手,phpstudy程序包都是一个不错的选择。接下来小编就来跟大家说说使用phpstudy搭建php服务器的方法。 一、 下载PHPStudy 二、 安装 2....
2018-04-17 10:00:55
27343
转载 ftp站点密码破解
启动流光软件,在“F T P 主机”点击鼠标右键选择“编辑 | 添加”,然后添加想要利用的那个 F T P 地址,然后在弹出的对话框添加欲利用的主机,FTP 主机名称添加好后,还需要添加用户列表,鼠标右击添加的 FTP 主机名,再选择“编辑 | 从列表中选择”,在弹出的对话框中选择可能的用户列表,添加后结果,双击“显示所有项目”就会显示出选中的用户列表中所包含的用户。现在 F T P 地址和用户名...
2018-04-17 09:59:07
2006
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人