代理加盟 2020全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: 秀站網 > 織夢大學 > 使用教程 >

DedeCMS織夢自定義表單提示88952634惡意提交

來源:本站原創 發布時間:2019-03-31 13:09:26熱度:我要評論(0

免費下載,無需注冊無需充值

       DedeCMS經常使用表單來接收或收集用戶提交的訂單或信息,如果有人惡意攻擊網站或者用掃描的方法,由于程序本身對某些字符進行過濾,如果你的表單提交過來的數據全部顯示:88952634,就證明收到惡意攻擊!

表單88952634

       應對這樣的攻擊除了自身服務器的防護外,還可以在DedeCMS本身的diy表單里限制用戶同一時間提交表單信息。網上找到這樣的應對方法:

       找到/plus/diy.php,找到

if(!is_array($diyform))
        {
            showmsg('自定義表單不存在', '-1');
            exit();
        }

       下面添加代碼:

//檢測游客是否已經提交過表單 //www.vi586.com
        if(isset($_COOKIE['VOTE_MEMBER_IP']))
        {
            if($_COOKIE['VOTE_MEMBER_IP'] == $_SERVER['REMOTE_ADDR'])
            {
                ShowMsg('您已經填寫過表單啦','-1');
                exit();
            } else {
                setcookie('VOTE_MEMBER_IP',$_SERVER['REMOTE_ADDR'],time()*$row['spec']*3600,'/');
            }
        } else {
            setcookie('VOTE_MEMBER_IP',$_SERVER['REMOTE_ADDR'],time()*$row['spec']*3600,'/');
        }

       但是這是針對用戶本身,也就是運用了瀏覽器的cookie,但是程序掃描的應該會失效,Safe3WVS掃描器在掃描sql注入漏洞時,post字段內就含有88952634這個數字,

       這是利用限制IP達到重復多次提交的目的,用戶同一個IP只能一天內只能提交三次,在上面的代碼替換成下面代碼:

//判斷ip,限制預約次數
$intime = date('Y-m-d');
$row_ip = $dsql->getOne("SELECT count(*) as dd FROM `dede_xxxx` WHERE ip like '%{$ip}%' and date like '%{$intime}%'");
if($row_ip['dd'] >= 3) {
    echo "<script>alert('您今天的次數已經到達上限,歡迎明天前來!'); window.location.href=''";
    exit();
}

轉載請注明來源網址:http://www.yxrxyy.live/dedecms_jq/1415.html

    發表評論

    評論列表(條)

      北京28是什么彩票