dedecms v57 漏洞 不能上传

修改downloadphp（网站根目录/plus/downloadphp）

将header("location:$link");

替换为

if(stristr($link,$cfg_basehost))

{

header("location:$link");

}

else

{

header("location:$cfg_basehost");

}

对link参数做判断，对不是同域名的跳转给予提示，将非本站域名跳转到网站首页，以免出现钓鱼欺诈行为。而scanv也不会再提示低危风险漏洞了。

首先建议你好好学习一下php语法，任何一个网站程序都有很大的漏洞，正如微软每过一段时间都要发布漏洞补丁，如果你的技术超过他就不存在漏洞；其次，要做好安全防护，任何一个疏忽都会造成致命打击；最后希望你多多向前辈请教，也希望你尽快渡过难关

不润许的，也不建议啊，我虽然不知道你为什么非要把放在根目录，但我觉得这样会给安全方面带来很大的危害，为了不让用户得到更大的权限一般将附件文件价的属性设置成不容许执行脚本，而你如果将设置的可以上传到根目录，根目录必须的有可以执行php脚本的，这样如果有的用户将php木马伪装上传到你的根目录就会对你的网站有所有的权限，虽然dedecms已经对用户上传的文件做了限制，只容许格式的文件上传，但也只是从扩展名上做一下简单的判断，如果木马起一个jpg或其他格式的扩展名就可以上传上来，再利用iis漏洞就可以得到执行。从而获得你的网站权限。希望对你有所帮助。