建站资讯

阿里云服务器提示织梦uploadsafe.inc.php上传漏洞的

作者:admin 发布时间:2020-08-02

很多将织梦dedecms安装在阿里云服务器的ecs的站长每次都会看到阿里云服务器盾就会通知有一个上传漏洞,引起的文件是/include/uploadsafe.inc.php文件,

原因是dedecms原生提供一个 本地变量注册 的模拟实现,正常情况下允许黑客覆盖任意变量,就会导致黑客攻击,下面告诉大家解决的办法:

我们找到并打开/include/uploadsafe.inc.php文件,在里面找到如下代码:

if(emptyempty(${$_key.'_size'})) { ${$_key.'_size'} = @filesize($$_key); } 

在其下面添加如下代码:

$imtypes = array( image/pjpeg , image/jpeg , image/gif , image/png , image/xpng , image/wbmp , image/bmp ); if(in_array(strtolower(trim(${$_key.'_type'})),$imtypes)){ $image_dd = @getimagesize($$_key); if($image_dd == false){ continue; } if (!is_array($image_dd)) { exit('Upload filetype not allow !'); } } 
标签: 织梦Dedecms教程 阿里云服务器 漏洞

收缩