阿里云提示織夢dedecms模版SQL注入漏洞修復方法

很多用戶用到阿里云服務器，會經常碰到各種安全提示，不得不說阿里云這一塊做的還是很不錯的。今天介紹下【阿里云提示織夢dedecms模版SQL注入漏洞修復方法】。

問題原因：dedecms的/member/soft_add.php中，對輸入模板參數$servermsg1未進行嚴格過濾，導致攻擊者可構造模版閉合標簽，實現模版注入進行GETSHELL。

關于織夢dedecms模板SQL注入漏洞修復方法，主要是文件/member/soft_add.php。

搜索：

 
$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}
";

 (大概在154行左右)

替換成  

if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) { $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}
"; }

老規矩大紅色地方標記了修改的地方，然后保存，接著備份原文件，然后上傳修改好的文件即可。