2. 程式人生 > >織夢dedecms後臺檔案media_add.php任意上傳漏洞解決辦法

織夢dedecms後臺檔案media_add.php任意上傳漏洞解決辦法

阿新 發佈:2019-01-21

織夢在安裝到阿里雲伺服器後阿里雲後臺會提示media_add.php後臺檔案任意上傳漏洞,引起的檔案是後臺管理目錄下的media_add.php檔案,下面跟大家分享一下這個漏洞的修復方法:

首先找到並開啟後臺管理目錄下的media_add.php檔案,在裡面找到如下程式碼:

$fullfilename = $cfg_basedir.$filename;


在其上面新增一段如下程式碼:        

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){
                ShowMsg("你指定的檔名被系統禁止!",'java script:;');
                exit();
   }

新增完成後儲存並替換原來的檔案即可。

相關推薦

dedecms後臺檔案media_add.php任意漏洞解決辦法

織夢在安裝到阿里雲伺服器後阿里雲後臺會提示media_add.php後臺檔案任意上傳漏洞,引起的檔案是後臺管理目錄下的media_add.php檔案,下面跟大家分享一下這個漏洞的修復方法: 首先找到並開啟後臺管理目錄下的media_add.php檔案,在裡面找到如下程式碼:

dedecms “模板檔案不存在,無法解析文件!” 解決方法分享

dedecms後臺生成html,出現這樣的提示:“模板檔案不存在,無法解析文件!”這個問題很多人都遇到過 我們先清空下快取。 第一。首先開啟:/incluede/arc.archives.class.php 查詢 “模板檔案不存在,無法解析文件” 這行字,然後把整行修改為 echo "模板檔案不存在,無法解

DEDECMS百度編輯器Ueditor圖片及下載遠端圖片無法加水印的解決方法

一、開啟 \include\ueditor\php\action_upload.php 找到include "Uploader.class.php";在下面新增:require_once("../../common.inc.php"); require_once("../..

如何讓DedeCMS後臺的模板檔案列表按名稱排序

偶然一次機會,在本地做完站,上傳伺服器後,發現織夢站點後臺的模板檔案排序全亂了,而不是按照正常的名稱排序,假如有多個模板檔案.htm的話,找個檔案,及其痛苦,通過網路查詢,更改templets_default.htm檔案可以解決此問題,具體步驟如下:  步驟一:

(dedecms)後臺如何設定網站關鍵詞描述

我們先登入到網站織夢的後臺。首先開啟系統-系統設定-系統基本引數。點選系統引數之後,可以設定站點根網址、主頁連結名、網頁主頁連結、網站名稱、上傳檔案預設路徑、編輯器使用XHTML、網站版權資訊、模板預設風格、站點描述、站點預設關鍵字、網站備案號。我們可以根據自身網站建設需要來設定相對應的內容,填寫是比較簡單的

dedecms後臺釋出文章提示“標題不能為空”

問題症狀:V5.7登入後臺後,釋出英文標題沒問題,釋出中文會提示“標題不能為空”。 問題根源:htmlspecialchars在php5.4預設為utf8編碼,gbk編碼字串經 htmlspecialchars 轉義後的中文字串為空,也就是標題為空。 解決辦法:給h

dedecms後臺管理標題“內容管理系統”的去掉方法

前端 有時適合,我們的網站是給客戶開發的。當提交給客戶後臺管理系統時,訪問後臺管理地址,會發現在標題欄的標題,有一個“織夢內容管理系統 V57_GBK_SP1”字樣。有些客戶不喜歡,想要去掉。這裡島主提供一下去掉方法。 去掉方法 開啟 /include/common.inc

DEDECMS後臺精簡及防攻擊優化

  如果建站一開始就不想要的話,在織夢plus目錄下進行如下操作:   刪除:guestbook資料夾【留言板,後面我們安裝更合適的留言本外掛】;   刪除:task資料夾和task.php【計劃任務控制檔案】   刪除:ad_js.php【廣告】   

程式人生:dedecms後臺/會員驗證碼關閉

dedecms預設是所有的功能幾乎只要用到驗證碼的地方我們都需要驗證的,如果要關閉一些驗證功能我們可以參考下面的教程,這裡介紹了關閉後臺,留言板,會員系統等驗證碼功能關閉了。提示:支援DedeCMS V5.6 以上的所有版本取消後臺登入驗證碼開啟/data/safe

dedecms模板中執行php程式碼和mysql語句總結

前言 我們在開發織夢模板時,有時需要對當前呼叫的一些資料做一些修改或者調整。就需要用利用php語言來對所得資料進行一些處理。同時也會用到用sql語句直接在資料庫中呼叫相關資料。島主總結了一下在模板中執行php程式碼和mysql語句的方法。 具體方法 1、在織夢模板中執行ph

dedecms後臺文章列表顯示作者欄位的方法

活學活用織夢標欄位籤的{dede:field name= function= } 使用背景: 為了客戶需要,x分類下的文章的作者被我設計成了y分類下的文章的id號,然後再根據y分類文章的id編號查詢標題,這個標題正是x分類作者的姓名. 一,修改後臺文章列表模板dede\

首頁head之間被篡改加入異常程式碼解決辦法

最新福利:領取阿里雲1000通用代金券    網站被黑,措手不及之下只能不斷學習,這個解決辦法沒辦法做測試,因為網站自己已經清空沒法真實上手測試了,只能先收藏以備不時之需,希望以後自己都不用再看這篇文章。     首頁被篡

IIS+php服務器無法圖片解決辦法

src inf ini 技術 ima 建立 查找 地方 關於 查找網上資料,發現php.ini下面有2個地方關於上傳的配置: file_uploads = On 這裏設置是否允許HTTP上傳,默認應該為ON的 ;upload_tmp_dir= 這裏設置上傳文件存放的臨時

DedeCms任意檔案漏洞修復

一、/include/dialog/select_soft_post.php檔案,搜尋(大概在72行的樣子)      $fullfilename = $cfg_basedir.$activepath.'/'.$filename;      修改為      if (preg

dedecms PC移動端同一後臺

最近花了幾天時間研究了一下關於織夢統一後臺的功能。 百度了許多方法都不靈驗。在自己嘗試了幾種方法後,目前這種可行。 首先前提是:在已經做好的PC端上增加手機端 1,把移動端的css、js、images檔案放到根目錄下m資料夾下,或者/m/assets資料夾下 (建

DEDECMS網站後臺系統選單點選沒有反應的解決辦法(除了核心)

織夢DEDECMS模板網站後臺系統選單點選沒有反應的解決辦法: DEDECMS模板     問題說明:"織夢繫統的後臺主頁右上角一直是“載入中... ”,而左邊的系統選單,這裡指的是切換選單,點選沒有任何反應。只能在“核心”選單中使用,其他的“模組 生成 採集 會員 模板

DedeCms網站首頁不生成html檔案動態顯示方法

首頁可以直接用PHP檔案動態顯示的,方便的地方就是你在做修改的時候,不需要生成html檔案。 修改方法,編輯開啟根目錄下的index.php,用下面程式碼全部替換裡面的所有內容。 <?php

dedecms漏洞uploadsafe.inc.php修復方法

 今天分享的漏洞是一個關於織夢dedecms上傳漏洞修復方法,主要是檔案/include/uploadsafe.inc.php。      有2個地方:      1、搜尋 ${$_key.'_size'} = @filesize($$_key);      }(大概在42,

(dedecms)彩色標簽雲(tag)隨機顏色和字體大小

col ref ont tro function min syntax fun ces 1、選擇你所要加頁面的模板,一般是在首頁index.htm 加上如下代碼 01 <!-- /下面開始tag標簽雲 --> 02 &

DedeCMS的二次開發之數據庫類操作

高亮顯示 delete from 進行 往裏面 參考 如何 tps .com 1.創建數據表 為了讓講解更加的貼合實際,天涯版主創建了一個名為"dede_test"的表,裏面就2個字段,1個id,作為唯一標識,另一個name作為名稱。然後往裏面添加測試數據,這個操作類似於A