阿里云后臺(tái)提示織夢(mèng)common.inc.php文件SESSION變量覆蓋漏洞會(huì)導(dǎo)致SQL注入，黑客可以直接從SESSION[SESSION[sqlhash]獲取值作為$query帶入SQL查詢，這個(gè)漏洞的利用前提是session.auto_start = 1即開(kāi)始了自動(dòng)SESSION會(huì)話，下面告訴大家怎么修復(fù)這個(gè)漏洞：

(此圖片來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪除! )

首先找到并打開(kāi)/include/common.inc.php文件，在里面找到如下代碼：

 if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )

將其替換為如下代碼：

 if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )

修改完成后保存并替換原來(lái)的文件就可以了。這樣阿里云后臺(tái)就不會(huì)有提示了，網(wǎng)站也非常安全了。