永胜博客

分享网站制作技术,网络推广,生活记录,个人游记等....

您现在的位置是:网站首页 > 技术分享 > 开发技术 > 织梦技巧 >

Dedecms mysql_error 信息泄露漏洞怎么修复?

发布时间:2018-04-11 16:43编辑:永胜浏览(65)

    360检测平台是这么说的:

    发现时间:

    2015-01-23

    漏洞类型:

    信息泄露

    所属建站程序:

    DedeCMS

    所属服务器类型:

    通用

    所属编程语言:

    PHP

    描述:

    文件内容涉及mysql执行的error log,由于没有限制导致可被任意用户访问。

    危害:

    通过该问题,攻击者可获取敏感信息,可能会获取到你更改过的网站后台或是被攻击者留下的敏感痕迹直接进行利用。

    解决方案:

    1.升级至新版

    2.修改dedesqli.class.php、dedesql.class.php

    找到如下一行$errorTrackFile = dirname(__FILE__).'/../data/mysqli_error_trace.inc';

    把mysqli_error_trace修改成你喜欢的名字,并确保具有一定复杂度

    —————————————————————————————————————

    具体怎么修改呢?

    1、先升级最新版本,然后找到data/mysql_error_trace.inc​和data/mysql_error_trace.inc这两个文件,在data里面,把他们修改成自己喜欢的句子,并且记住你修改了的名称。

    2、找到include文件夹里面的dedesqli.class.php、dedesql.class.php这两个文件里面的$errorTrackFile = dirname(__FILE__)./../data/mysqli_error_trace.inc;

    把里面的data/mysql_error_trace.inc和data/mysql_error_trace.inc更换成你第一步修改好的名字就ok了。​