DedeCMS下data/mysql_error_trace.inc日志暴露后台地址漏洞修复（日志伪造漏洞）

25-02-03 23

在本文中，我们将给您介绍关于DedeCMS下data/mysql_error_trace.inc日志暴露后台地址漏洞修复的详细内容，并且为您解答日志伪造漏洞的相关问题，此外，我们还将为您提供关于/in

在本文中，我们将给您介绍关于DedeCMS下data/mysql_error_trace.inc日志暴露后台地址漏洞修复的详细内容，并且为您解答日志伪造漏洞的相关问题，此外，我们还将为您提供关于/include/uploadsafe.inc.php dedecms注入漏洞修复方法、com.mysql.jdbc.MysqlDataTruncation: Data truncation: Truncated incorrect DOUBLE value:...、dedecms /include/payment/alipay.php支付模块注入漏洞修复方案、DedeCMS Error Track:DedeCMS错误警告：连接数据库失败的解决办法的知识。

本文目录一览：

DedeCMS下data/mysql_error_trace.inc日志暴露后台地址漏洞修复（日志伪造漏洞）
/include/uploadsafe.inc.php dedecms注入漏洞修复方法
com.mysql.jdbc.MysqlDataTruncation: Data truncation: Truncated incorrect DOUBLE value:...
dedecms /include/payment/alipay.php支付模块注入漏洞修复方案
DedeCMS Error Track:DedeCMS错误警告：连接数据库失败的解决办法

DedeCMS下data/mysql_error_trace.inc日志暴露后台地址漏洞修复（日志伪造漏洞）

DedeCMS下datalogmysql_error_trace.inc记录了很多MYSQL错误记录，如果你曾经在后台访问时候出现过MYSQL错误，就会暴露后台地址，因为这个文件文件名固定，很容易被人给扫到漏洞因此可以改名处理。

解决方案一：

首先用FTP或远程登陆的方式将data/mysql_error_trace.inc更名成 mysql_error_你喜欢的任意字符.inc

然后打开 /include/dedesql.class.php和dedesqli.class.php

搜 mysql_error_trace.inc ，把 mysql_error_trace.inc 更名成 mysql_error_你喜欢的任意字符.inc (请注意两处文件名对应)

解决办法二：

通过服务器HTACCESS设置禁止DATA目录写入、执行

解决办法三：

通过FTP将/data/文件夹移至web根目录的上一级目录；
然后修改/include/common.inc.php中DEDEDATA变量，将：define('DEDEDATA', DEDEROOT.'/data'); 改为define('DEDEDATA', DEDEROOT.'/../data')；
如果你首页是动态访问，那还要修改/index.php，删除如下代码（注：如果首页生成静态且index.html为默认访问地址可忽略此条修改。）：
if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))
{
header('Location:install/index.php');
exit();
}
修改tplcache缓存文件目录：登陆后台 > 系统 > 系统基本参数 > 性能选项，将源码缓存目录值改为 /../data/tplcache。

本文章网址：http://www.ppssdd.com/code/10267.html。转载请保留出处，谢谢合作！

/include/uploadsafe.inc.php dedecms注入漏洞修复方法

2016年8月16号最新 /include/uploadsafe.inc.PHP Dedecms注入漏洞

第8行或者搜索：

$cfg_not_allowall = "PHP|pl|cgi|asp|aspx|jsp|PHP3|shtm|shtml";

替换成

$image_dd @getimagesize($$_key);

$image_dd = @getimagesize($$_key);
if($image_dd == false){ continue; }
if (!is_array($image_dd))
{
exit('Upload filetype not allow !');
}

备注：修改前请做好备份。

上一篇：DedeCms文件加载顺序原理介绍

下一篇：dedecms模版soft_add.phpSQL注入漏洞修复方法

com.mysql.jdbc.MysqlDataTruncation: Data truncation: Truncated incorrect DOUBLE value:...

在使用mybatis的@Update注解的时候，报了一个这样的错

### Error updating database.  Cause: com.mysql.jdbc.MysqlDataTruncation: Data truncation: Truncated incorrect DOUBLE value: ''4028158162c347830162c347fb050000''
### The error may involve com.xwj.mapper.UserMapper.updateUser-Inline
### The error occurred while setting parameters
### SQL: UPDATE xwj_user SET last_name = ? WHERE id = 2
### Cause: com.mysql.jdbc.MysqlDataTruncation: Data truncation: Truncated incorrect DOUBLE value: ''4028158162c347830162c347fb050000''
; ]; Data truncation: Truncated incorrect DOUBLE value: ''4028158162c347830162c347fb050000''; nested exception is com.mysql.jdbc.MysqlDataTruncation: Data truncation: Truncated incorrect DOUBLE value: ''4028158162c347830162c347fb050000''] with root cause

com.mysql.jdbc.MysqlDataTruncation: Data truncation: Truncated incorrect DOUBLE value: ''4028158162c347830162c347fb050000''
    at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:3974) ~[mysql-connector-java-5.1.46.jar:5.1.46]
    at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:3912) ~[mysql-connector-java-5.1.46.jar:5.1.46]
    at com.mysql.jdbc.MysqlIO.sendCommand(MysqlIO.java:2530) ~[mysql-connector-java-5.1.46.jar:5.1.46]
    at com.mysql.jdbc.MysqlIO.sqlQueryDirect(MysqlIO.java:2683) ~[mysql-connector-java-5.1.46.jar:5.1.46]
    at com.mysql.jdbc.ConnectionImpl.execSQL(ConnectionImpl.java:2486) ~[mysql-connector-java-5.1.46.jar:5.1.46]

调用的方法如下：

/**
     * 更新
     */
    @Update("UPDATE xwj_user SET last_name = #{lastName} WHERE id = ${id}")
    int updateUser(@Param("lastName") String name, @Param("id") String id);

在网上看了各种解决办法，有说是set语句中逗号误写成了and导致的，楼主遇到的不是这个情况

看上面的报错，以为是数据库中id字段(长度VARCHAR(32))为''4028158162c347830162c347fb050000''的这条数据长度过长导致的。于是将这条数据的id改为‘1’，一执行，发现执行成功。楼主便得意的以为是id过长导致的。

但心里也奇怪数据库明明可以放32位，为啥会报错呢？于是想一探究竟，id字段多少位时，才会报错。于是便将id改为是‘12’，然后‘123’...依次加，直到加到‘12345678901234567890123456789012’，一共32位了，仍然执行成功，这个时候楼主就懵逼了。这怎么会执行成功呢？

突然灵光一闪，观察到有没有可能是id中不是全数字导致的呢？于是将其中的一个数字改为字母，再执行就报错了。功夫不负有心人，终于找到了罪魁祸首

至于为啥id必须是纯数字，希望哪位大神在评论区留言，再次小弟谢过~

dedecms /include/payment/alipay.php支付模块注入漏洞修复方案

漏洞名称：Dedecms支付模块注入漏洞

漏洞描述：Dedecms支付插件存在sql注入漏洞，此漏洞存在于/include/payment/alipay.PHP文件中，对输入参数$_GET['out_Trade_no']未进行严格过滤。

解决方案：

大约在136行 /* 取得订单号 */

补丁前:

$order_sn = trim($_GET['out_Trade_no']);

补丁后:

$order_sn = trim(addslashes($_GET['out_Trade_no']));

上一篇：阿里云服务器提示media_add.php dedecms后台文件任意上传漏洞修复方法

下一篇：织梦新版本＂所有栏目列表＂错位的解决办法

DedeCMS Error Track:DedeCMS错误警告：连接数据库失败的解决办法

《Dedecms Error Track:Dedecms错误警告：连接数据库失败的解决办法》要点：
本文介绍了Dedecms Error Track:Dedecms错误警告：连接数据库失败的解决办法，希望对您有用。如果有疑问，可以联系我们。

配置好Dedecms以后,登录后台发现出现“Dedecms Error Track:Dedecms错误警告：连接数据库失败,可能数据库暗码不对或数据库服务器出错!”,这个错误该如何解决?

其实错误提示已经很明显了,说明Dedecms系统与数据库连接错误.

解决办法：

找到 data/common.inc.PHP 文件,用文本编辑器打开,代码如下：

<?PHP
//数据库连接信息
$cfg_dbhost = 'localhost';
$cfg_dbname = 'Dedecmsv57utf8sp1';
$cfg_dbuser = 'root';
$cfg_dbpwd = 'abcdefgg';
$cfg_dbprefix = 'dede_';
$cfg_db_language = 'utf8';
?>
正确填写$cfg_dbname(数据库名)、$cfg_dbuser(数据库用户名)和$cfg_dbpwd(数据库暗码)等信息,就可以解决这个问题.

欢迎参与《Dedecms Error Track:Dedecms错误警告：连接数据库失败的解决办法》讨论，分享您的想法，小编PHP学院为您提供专业教程。

关于DedeCMS下data/mysql_error_trace.inc日志暴露后台地址漏洞修复和日志伪造漏洞的介绍已经告一段落，感谢您的耐心阅读，如果想了解更多关于/include/uploadsafe.inc.php dedecms注入漏洞修复方法、com.mysql.jdbc.MysqlDataTruncation: Data truncation: Truncated incorrect DOUBLE value:...、dedecms /include/payment/alipay.php支付模块注入漏洞修复方案、DedeCMS Error Track:DedeCMS错误警告：连接数据库失败的解决办法的相关信息，请在本站寻找。

本文标签：