近看到網上曝出的dedecms版本的一個注入漏洞利用，漏洞PoC和分析文章也已在網上公開。但是在我實際測試過程當中，發現無法復現。南昌辦公應用培訓南京電腦維護必備原因是此漏洞的利用需要一定的前提條件，而原分析文章當中并沒有交代這些，所以這里將我的分析過程以及一些觸發的必要條件總結了一下。

發布時間：2013年6月7日

漏洞描述：DedeCMS是一個網站應用系統構建平臺，也是一個強大的網站內容管理系統。基于PHP+MySQL的技術架構，完全開源加上強大穩定的技術架構，既可以用來構建復雜體系的企業信息門戶或電子商務網站平臺，也可以用來管理簡單內容發布網站，不管是商務資源門戶還是娛樂信息門戶，它都是您管理網站的好幫手。

漏洞觸發的根源在于dedesql.class.php在調用$GLOBALS[‘arrs1’]、$GLOBALS[‘arrs2’]這兩個全局變量之前未對其進行初始化，導致能夠覆蓋任意全局變量。

漏洞危害：因為dedecms的使用非常廣泛，而此漏洞利用方便，危害性高，能夠遠程獲取管理后臺，進而直接getshell獲取系統控制權。

觸發條件：確保php.ini中使用php_mysql.dll同時未開啟php_mysqli.dll，

受影響版本：dedecms 5.7

文中圖片素材來源網絡，如有侵權請聯系刪除

總結

以上是生活随笔為你收集整理的mysql注入漏洞修复方案_注入漏洞修复方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。