dedecms留言本漏洞处理方法
找到plus/guestbook/edit.inc.php,修改下面代码:在if($remsg!='')
{
//....
}后面增加代码,改为: if($remsg!='')
{
//管理员回复不过滤HTML
if($g_isadmin)
{
$msg = "<div class=\\'rebox\\'>".$msg."</div>\n".$remsg;
//$remsg
<font color=red>管理员回复:</font>
}
else
{
$row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");
$oldmsg = "<div class=\\'rebox\\'>".addslashes($row['msg'])."</div>\n";
$remsg = trimMsg(cn_substrR($remsg, 1024), 1);
$msg = $oldmsg.$remsg;
}
} else {
if(!$g_isadmin)
{
ShowMsg("无权提交修改当前留言!", $GUEST_BOOK_POS);
exit();
}
}
页:
[1]