不便升级的应对措施

作者:动易软件 来源:本站原创 点击数: 更新时间:2017年07月04日

如果您的网站因实施过定制改造、第三方功能开发等原因而不便升级到5.7版,您可以在执行完附件一至附件三中的措施后,对网站上的标签进行检查和修改。确保网站上的所有标签都符合以下规则,则能有效防止漏洞被黑客利用。

1.允许AJAX访问的标签不能有supersql(SQL超级参数型)类型的参数。

2.含有supersql类型参数的标签,不能允许AJAX访问。

利用文本处理软件(如Nodepad++,下载地址:https://notepad-plus-plus.org/repository/7.x/7.4.2/npp.7.4.2.Installer.exe)检索模板目录下的“标签库”文件夹,搜索所有含有True的标签文件,即可把全部允许AJAX访问的标签检索出来,如下图所示:

分析检查这些标签在前台页面是否有调用,有调用到的地方是否确实需要AJAX调用,如果这些标签在前台页面没有被调用,或调用的方式并非AJAX调用,或AJAX调用可以改为普通调用,则可以将所有标签中的True替换为False,实现禁用所有标签的AJAX调用。

对于存在部份标签确实需要在前台以AJAX方式调用,则可以在网站后台检查并修改这些标签的参数,按以下规则将使用了supersql类型的参数改为其它合适的类型:

1、数值型ID参数:generalid、nodeid 、id、 modelID、models、 itemid、hits、startRowIndex、maxRowCount、specialId、CategoryLength、WapCategoryID、WapArticleId、WapArticleId、Count、parentId、cid 、editonId、entryId、groupId 、logId 、currentPage 、blogID、number、eliteLevel、currentId、ProductId、categoryId、ConsultationID、commentId、GeneralID、currentPage 、depth、specialCategoryId、specialId、orderType、moodId改为sql.int类型(SQL整数型),修改完成后保存标签。

2、一般整数类参数:各种长度参数如(TitleLength、PageLength等)、noShow、linkOpenType、listOrderType、bindModel、titleLength、focusWidth、focusHeight、userCategoryId、outputType、contentLength、displayType、inLabel、displayPropertyType、cols、minNum、displayNewSign、productListContainerID、pagerContainerID改为int类型(整数型)。

3、SQL字符型参数:fieldName、fieldValue、content、intro、author、inputer、source、editor、username、date、displayDateTime改为sql.string类型(SQL字符型)。

4、布尔型参数:getIntro、picExist、usePage、inLabel、displayNodeTips、displayNodeName 、displayInputer、displayTips 、displayHits 、displayHotSign、displayCommentLink 改bool类型(布尔类型)。

5、一般字符串参数:bindStyle、splitChar、tableName、displayName、metaType、trademarkName、splitChar、parentPath、exhibitStyle、title、enTitle改为string类型(字符型)。

6、SQL时间型参数:startDate、endDate改为sql.datetime类型(SQL日期型)。

7、浮点型参数:discount\lowPrice\longPrice改为double类型(浮点型)。

33444
本篇文章的Tags:  升级
如果以上内容未能解决您的问题,欢迎您到我们的讨论区发帖寻求帮助,我们的工作人员会热情为您解答。