dedecms留言本漏洞处理方法

叮叮

找到plus/guestbook/edit.inc.php，修改下面代码：
在

1. if($remsg!='')
   
2. {
   
3.     //....
   
4. }

复制代码

后面增加代码，改为：

1.     if($remsg!='')
   
2.     {
   
3.         //管理员回复不过滤HTML
   
4.         if($g_isadmin)
   
5.         {
   
6.             $msg = "<div class=\\'rebox\\'>".$msg."</div>\n".$remsg;
   
7.             //$remsg
   
8. <font color=red>管理员回复：</font>
   
9.         }
   
10.         else
    
11.         {
    
12.             $row = $dsql->GetOne("SELECT msg From `#@__guestbook` WHERE id='$id' ");
    
13.             $oldmsg = "<div class=\\'rebox\\'>".addslashes($row['msg'])."</div>\n";
    
14.             $remsg = trimMsg(cn_substrR($remsg, 1024), 1);
    
15.             $msg = $oldmsg.$remsg;
    
16.         }
    
17.     } else {
    
18.         if(!$g_isadmin)
    
19.         {
    
20.             ShowMsg("无权提交修改当前留言！", $GUEST_BOOK_POS);
    
21.             exit();
    
22.         }
    
23.     }

复制代码