请选择 进入手机版 | 继续访问电脑版
程序更新官方微博演示站点
设为首页收藏本站切换到宽版
2012年1月18日-2012年2月18日论坛调整:只开启邀请注册,23:30-7:30不能发帖,其他暂时不变。由此带来的不便,敬请谅解!!

[PJBlog^3]用户聚居地 - ASP开源中文个人博客系统PJBlog

 找回密码
 立即加入PJHOME

QQ登录

只需一步,快速开始

PJHOME小黑板报 你的关注和支持,是PJBlog不断成长的动力 给论坛提建议 - 给版主提建议

PJBlog3 使用交流 最新版本:PJBlog3 V3.2.9.518(2011/11/01) 安装 - 升级 - 转换 - 模板 - 插件 - 反馈

论坛指南 - 版主申请 - 链接申请 - 博客展示 - 有偿定制 PJBBS恭祝龙年新春快乐 - PJHOME2011改版,全新起航 PR≥3,alexa≤15万,与我们互链 - 风云互联 - 商务合作

[PJBlog^3]用户聚居地 - ASP开源中文个人博客系统PJBlog PJHOME论坛 [PJBlog^3]使用交流 - PJBLOG COMMUNION ZONE PJ-Blog 程序发布 PJBlog 170版本重要安全补丁(2009-04-22)所有PJ170用 ...
12345678910... 22下一页
返回列表 发新帖
查看: 58623|回复: 215

[补丁更新] PJBlog 170版本重要安全补丁(2009-04-22)所有PJ170用户必须更新此补丁 [复制链接]

evio

PJHOME管理员

[PJblog^3]开发成员

Rank: 64Rank: 64Rank: 64Rank: 64

PJ币
6231 元
积分
5778
帖子
763
注册时间
2008-1-10
在线时间
2306 小时

程序创作奖 最佳勤劳奖 最佳奉献奖 插件大师奖 终身成就奖

发表于 2009-4-22 15:03:39 |显示全部楼层
PJBlog3 v3.2.9.518已发布,欢迎下载使用(2011/11/01)
4.22补丁:

增加 Checkxss()重要函数。

代码安全由 安全小组 测试通过。

升级包请下载后直接覆盖

'==============================================
'补丁修改方法
'==============================================
Action.asp
request("cname") 改成 Checkxss(request.QueryString("cname"))
request("mainurl") 改成 Checkxss(request.QueryString("mainurl"))
request("main") 改成 Checkxss(request.QueryString("main"))

common/function.asp中增加函数
  1. '*************************************
  2. '防XSS注入函数 更新于2009-04-21 by evio
  3. '与checkstr()相比, checkxss更加安全
  4. '*************************************
  5. Function Checkxss(byVal ChkStr)
  6.     Dim Str
  7.     Str = ChkStr
  8.     If IsNull(Str) Then
  9.         CheckStr = ""
  10.         Exit Function
  11.     End If
  12.     Str = Replace(Str, "&", "&")
  13.     Str = Replace(Str, "'", "´")
  14.     Str = Replace(Str, """", """)
  15.         Str = Replace(Str, "<", "&lt;")
  16.         Str = Replace(Str, ">", "&gt;")
  17.         Str = Replace(Str, "/", "&#47;")
  18.         Str = Replace(Str, "*", "&#42;")
  19.     Dim re
  20.     Set re = New RegExp
  21.     re.IgnoreCase = True
  22.     re.Global = True
  23.     re.Pattern = "(w)(here)"
  24.     Str = re.Replace(Str, "$1here")
  25.     re.Pattern = "(s)(elect)"
  26.     Str = re.Replace(Str, "$1elect")
  27.     re.Pattern = "(i)(nsert)"
  28.     Str = re.Replace(Str, "$1nsert")
  29.     re.Pattern = "(c)(reate)"
  30.     Str = re.Replace(Str, "$1reate")
  31.     re.Pattern = "(d)(rop)"
  32.     Str = re.Replace(Str, "$1rop")
  33.     re.Pattern = "(a)(lter)"
  34.     Str = re.Replace(Str, "$1lter")
  35.     re.Pattern = "(d)(elete)"
  36.     Str = re.Replace(Str, "$1elete")
  37.     re.Pattern = "(u)(pdate)"
  38.     Str = re.Replace(Str, "$1pdate")
  39.     re.Pattern = "(\s)(or)"
  40.     Str = re.Replace(Str, "$1or")
  41.         re.Pattern = "(\n)"
  42.     Str = re.Replace(Str, "$1or")
  43.         '----------------------------------
  44.         re.Pattern = "(java)(script)"
  45.     Str = re.Replace(Str, "$1script")
  46.         re.Pattern = "(j)(script)"
  47.     Str = re.Replace(Str, "$1script")
  48.         re.Pattern = "(vb)(script)"
  49.     Str = re.Replace(Str, "$1script")
  50.         '----------------------------------
  51.         If Instr(Str, "expression") > 0 Then
  52.                 Str = Replace(Str, "expression", "e&shy;xpression", 1, -1, 0) '防止xss注入
  53.         End If
  54.     Set re = Nothing
  55.     Checkxss = Str
  56. End Function
复制代码
class/cls_logAction.asp中找到
  1. oldcname = request.form("oldcname")
  2.                 oldcate = request.form("oldcate")
  3.                 oldctype = request.form("oldtype")
复制代码
改成
  1. oldcname = Checkxss(request.form("oldcname"))
  2.                 oldcate = Checkxss(request.form("oldcate"))
  3.                 oldctype = Checkxss(request.form("oldtype"))
复制代码
GetArticle.asp
blog_postFile = request("blog_postFile")  改成  blog_postFile = Cint(Checkxss(request.QueryString("blog_postFile")))
不知道大家还有什么问题不?
附件: 你需要登录才可以下载或查看附件。没有帐号?立即加入PJHOME
这个社会是个大茶几,上面放满了各种杯具。

使用道具 举报

无心

PJHome荣誉版主

【低调的华丽】

Rank: 40Rank: 40Rank: 40Rank: 40

PJ币
24605 元
积分
13678
帖子
2295
注册时间
2007-12-22
在线时间
4496 小时
发表于 2009-4-22 15:09:49 |显示全部楼层
PJBlog3 v3.2.9.518已发布,欢迎下载使用(2011/11/01)
效率不错。。。大家快点来打补丁吧。

-----------------------------------------------------------
竟然有人不会补。。直接下载附件,解压后,上传到你BLOG的根目录进行覆盖就可以了。

使用道具 举报

Tedbirkar

Rank: 18Rank: 18Rank: 18

PJ币
499 元
积分
1259
帖子
146
注册时间
2007-5-19
在线时间
691 小时
发表于 2009-4-22 15:12:25 |显示全部楼层
PJBlog3 v3.2.9.518已发布,欢迎下载使用(2011/11/01)
谢谢各位

使用道具 举报

cy451999599

Rank: 1

PJ币
46 元
积分
92
帖子
12
注册时间
2008-11-6
在线时间
8 小时
发表于 2009-4-22 15:14:20 |显示全部楼层

怎么更新呢?

使用道具 举报

mousee

Rank: 8Rank: 8

PJ币
460 元
积分
1007
帖子
270
注册时间
2007-5-25
在线时间
446 小时
发表于 2009-4-22 15:14:48 |显示全部楼层
前排就坐。。。。哈哈`SF
论坛统一签名亲,我们的论坛签名是需要消费PJ币哦!!点击购买签名

温馨提示:博客地址敬请放在签名档,方便协助解决问题!

币币很多,花不完?来吧,购买他人签名,挂上你的链接!

使用道具 举报

cy451999599

Rank: 1

PJ币
46 元
积分
92
帖子
12
注册时间
2008-11-6
在线时间
8 小时
发表于 2009-4-22 15:14:59 |显示全部楼层
是运行那个action.asp文件么?

使用道具 举报

南无忧

PJFans LV4

不是好人

Rank: 22Rank: 22Rank: 22Rank: 22

PJ币
12425 元
积分
3384
帖子
528
注册时间
2006-10-14
在线时间
303 小时
发表于 2009-4-22 15:26:06 |显示全部楼层
更新了,很正常

[ 本帖最后由 南无忧 于 2009-4-22 15:56 编辑 ]
论坛统一签名亲,我们的论坛签名是需要消费PJ币哦!!点击购买签名

温馨提示:博客地址敬请放在签名档,方便协助解决问题!

币币很多,花不完?来吧,购买他人签名,挂上你的链接!

使用道具 举报

youstar

PJ币
4 元
积分
44
帖子
4
注册时间
2009-4-19
在线时间
4 小时
发表于 2009-4-22 15:26:31 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

使用道具 举报

yuzai

Rank: 8Rank: 8

PJ币
114 元
积分
933
帖子
63
注册时间
2009-3-6
在线时间
87 小时
发表于 2009-4-22 15:27:58 |显示全部楼层
看看`
论坛统一签名亲,我们的论坛签名是需要消费PJ币哦!!点击购买签名

温馨提示:博客地址敬请放在签名档,方便协助解决问题!

币币很多,花不完?来吧,购买他人签名,挂上你的链接!

使用道具 举报

cabbage

Rank: 1

PJ币
40 元
积分
311
帖子
21
注册时间
2008-3-22
在线时间
29 小时
发表于 2009-4-22 15:28:35 |显示全部楼层
来的真巧,哈哈
论坛统一签名亲,我们的论坛签名是需要消费PJ币哦!!点击购买签名

温馨提示:博客地址敬请放在签名档,方便协助解决问题!

币币很多,花不完?来吧,购买他人签名,挂上你的链接!

使用道具 举报

12345678910... 22下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即加入PJHOME

关闭

PJHOME小黑板报

PJBBS小报,报道PJ最新动态-值得关注!
<font color=#333>PJBBS小报,报道PJ最新动态-值得关注!</font>

查看 »

手机版|纯文字版|BBS.PJHOME.NET ( 粤ICP备11022983号-1 )  

GMT+8, 2012-2-4 14:19 , Processed in 0.149553 second(s), 9 queries , Eaccelerator On.

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部