zoukankan      html  css  js  c++  java
  • DEDE把变量放进session中,结果取值为null的问题

        最近在基于织梦CMS(dedecms)做公司网站,可以说改动不少,而其中最令我印象深刻的就是织梦的session。
       自己想在前台页面限制一些用户的访问,且后台用户可以访问。必须验证织梦后台用户的登录,于是开始取织梦的session,但是一直没有取出值来,后来才发现原来织梦的session有这样一段代码
      $sessSavePath = DEDEDATA."/sessions/";
      if(is_writeable($sessSavePath) && is_readable($sessSavePath))
      {
        session_save_path($sessSavePath);
      }
      $sessSavePath就是织梦session的存放位置,这里有两点需要注意,一是session_start()必须放在这段代码之后,二是$sessSavePath不能是文件的相对路径或者绝对路径,只能是文件的存放路径如:F:SESSION。
      于是便顺利的取出了session值。
     
       回过头来一想又有一个问题,而且是织梦的大问题,改过织梦程序的一定知道,代码如下:
    function _RunMagicQuotes(&$svar)
    {
        if(!get_magic_quotes_gpc())
        {
            if( is_array($svar) )
            {
                foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
            }
            else
            {
                $svar = addslashes($svar);
            }
        }
        return $svar;
    }

    if (!defined('DEDEREQUEST'))
    {
        //检查和注册外部提交的变量
        foreach($_REQUEST as $_k=>$_v)
        {
            if( strlen($_k)>0 && preg_match('/^(cfg_|GLOBALS)/',$_k) )
            {
                exit('Request var not allow!');
            }
        }
        foreach(Array('_GET','_POST','_COOKIE') as $_request)
        {
            foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
        }
    }
    

    一段接收变量的函数,不做详解了。如果不想的话,这段代码写的相当不错,但是如果考虑到安全性,绝对的有漏洞可寻。
    如果我命名这样一个变量 _SESSION["dede_admin_id"]=1 ,如果这个变量被成功接收了,那么dede的任何防御都是那么的不堪一击。稍微看过dede后台登录程序的都知道这个是判断用户登录的session值,问题很严重。
    所以错在哪里就在哪里做起,只需过滤掉接收变量的第一个"_"就可以了,那该怎么写呢,用正则呗,代码如下:
    preg_replace("/^_/","",$_k)


    OK搞定。


    做了两个月的织梦,织梦程序做的不错,但是问题也不少。希望织梦能够越来越好了 !
  • 相关阅读:
    Java入门——day42
    第六周进度报告
    Java入门——day41
    Java入门——day40
    Java入门——day39
    Java入门——day38
    Java入门——day37
    Java入门——day36
    Java入门——day35
    第五周进度报告
  • 原文地址:https://www.cnblogs.com/moqiang02/p/4061546.html
Copyright © 2011-2022 走看看