DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法

　　网站迁移到阿里云之后，一直提示有一个漏洞，如下：

　　漏洞名称：dedecms 上传漏洞

　　漏洞文件：include/uploadsafe.inc.php

　　漏洞描述：dedecms过滤逻辑不严导致上传漏洞。

　　在网上百度了一下，找一个比较好的方法，把这个漏洞问题解决了，主要修改uploadsafe.inc.php文件的两处。

　　解决方法：

　　1、打开include/uploadsafe.inc.php文件，找到第8行或者搜索代码：

　　$cfg_not_allowall= “php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml”;

　　修改为：

　　$cfg_not_allowall= “php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml|htm|html”;

　　2、找到第52行或者搜索代码：

　　$image_dd=@getimagesize($$_key);

　　在其下面添加：

　　if($image_dd== false){ continue; }

　　修改文件前请做好文件备份，将新的uploadsafe.inc.php文件上传替换阿里云服务器上再验证此漏洞即可解决此问题。

　　阿里云还是比较靠谱的，每天都会扫描我们网站的漏洞并给出反馈，解决这些漏洞，对网站也是很安全的。

　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。出现DedeCMS:CSRF Token Check Failed!，由于您重新打开了一个需要CSRF校验的表单页面。现在我们去解决这个问题。

　　织梦后台CSRF Token Check Failed解决方法

　　织梦后台-模块-文件管理器，修改文件会报CSRF Token Check Failed的解决方法

　　打开 dede/file_manage_view.php 找到

　　$path_parts =pathinfo($filename); 大约处于121行

　　在它下面一行加入

　　$GLOBALS[‘token’]=make_hash();

　　完成。

　　修改文件就不会再出现DedeCMS:CSRF Token Check Failed!这个提示了，如果您觉得有用，就请点个赞吧！