日志样式

dedecms /include/payment/alipay.php支付模块注入漏洞修复



漏洞名称:dedecms支付模块注入漏洞
 
漏洞描述:DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。
 
解决方案:
 
大约在136行 /* 取得订单号 */
 

补丁前: 

 


  1. $order_sn = trim($_GET['out_trade_no']);

 

补丁后: 

 


  1. $order_sn = trim(addslashes($_GET['out_trade_no']);


上一篇:阿里云服务器提示media_add.php dedecms后台文件任意 下一篇:织梦dedecms调用自定义字段的“附件”下载修改