您现在的位置是:首页 > cms教程 > Ecshop商城教程Ecshop商城教程
ecshop的sql注入漏洞修复方法实例
关戚栾2024-12-17Ecshop商城教程已有人查阅
导读ecshop系统部署在阿里云服务器上,阿里云提示Web-CMS漏洞:大概在第53、71、105、123行,4个地方修复方式都一样
ecshop系统部署在阿里云服务器上,阿里云提示Web-CMS漏洞:
修复方法如下:
1. /admin/shopinfo.php
大概在第53、71、105、123行,4个地方修复方式都一样
大概在第81、105、133、155行,4个地方修复方式都一样
大概在第246行,API_UserLogin()函数中
大概在第120行
大概在第291行,get_affiliate_ck()函数中
大概在第336行,get_comment_list()函数中
大概在第183行,respond()函数中
对以下变量进行过滤
大概在第109行
修复方法如下:
1. /admin/shopinfo.php
大概在第53、71、105、123行,4个地方修复方式都一样
admin_priv('shopinfo_manage');
修改为
admin_priv('shopinfo_manage');
$_REQUEST['id'] = intval($_REQUEST['id']);
2. /admin/shophelp.php大概在第81、105、133、155行,4个地方修复方式都一样
admin_priv('shophelp_manage');
修改为
admin_priv('shophelp_manage');
$_POST['id'] = intval($_POST['id']);
3. /api/client/includes/lib_api.php大概在第246行,API_UserLogin()函数中
/* SQL注入过滤 */
if (get_magic_quotes_gpc()) {
$post['UserId']=$post['UserId']
} else {
$post['UserId']=addslashes($post['UserId']);
}
$post['username'] = isset($post['UserId']) ? trim($post['UserId']) : '';
$post['password'] = isset($post['Password']) ? strtolower(trim($post['Password'])) : '';
4. /admin/edit_languages.php大概在第120行
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';
修改为
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';
5. /admin/affiliate_ck.php大概在第291行,get_affiliate_ck()函数中
$sqladd = ' AND a.user_id=' . $_GET['auid'];
修改为
$sqladd = ' AND a.user_id=' . intval($_GET['auid']);
6. /admin/comment_manage.php大概在第336行,get_comment_list()函数中
$filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim($_REQUEST['sort_by']);
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim($_REQUEST['sort_order']);
修改为
$sort = array('comment_id','comment_rank','add_time','id_value','status');
$filter['sort_by'] = in_array($_REQUEST['sort_by'], $sort) ? trim($_REQUEST['sort_by']) : 'add_time';
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : 'ASC';
7. /includes/modules/payment/alipay.php 和 /app/includes/modules/payment/alipay.php大概在第183行,respond()函数中
$order_sn = trim($order_sn);
修改为
$order_sn = trim(addslashes($order_sn));
8. /includes/lib_insert.php对以下变量进行过滤
$arr['id'] = intval($arr['id']);
$arr['num'] = intval($arr['num']);
$arr['type'] = addslashes($arr['type']);
9. /admin/integrate.php大概在第109行
$code = empty($_GET['code']) ? '' : trim($_GET['code']);
修改为
$code = empty($_GET['code']) ? '' : trim(addslashes($_GET['code']));
感谢您的认可和支持
微信
支付宝
本文标签:
很赞哦! ()
上一篇:ecshop操作数据库类文件介绍
相关教程
图文教程
ecshop模板安装,ecshop模板更换,ecshop模板上传方法
不少用户自行下载了模板不会安装,我们在这里提供了简单的安装方法供新手参考,一般来说,ECSHOP模板安装分为两种:
ecshop分页函数get_pager重写
在分页的时候要按照自己的需求分页,所有在ecshop原有的分页函数基础上进行了修改:返回的$pager 数组里面包含了第一页/末页 、上一页/下一页 已经分页显示的码数及地址
ecshop管理员列表,ecshop管理员密码,ecshop管理员权限
ECSHOP管理员。登录 ECShop 后台,从权限管理可以添加,编辑网店的管理员,并可对这些管理员的管理权限进行设置。
ecshop价格符号货币符号货币格式¥的方法
ECSHOP商城货币符号¥修改,商品价格符号¥修改成其他国家货币符号货币格式的修改成教程。例如:¥188 中的¥ 修改成$ £
相关源码
-
(自适应响应式)高端珠宝首饰奢侈品pbootcms模板下载本模板为珠宝首饰及奢侈品行业打造,采用PbootCMS内核开发,具备卓越的视觉表现力与商业转化能力。自适应设计确保在手机端呈现产品细节,后台数据实时同步,助您高效展示钻石查看源码 -
(自适应响应式)AI智能电子科技产品pbootcms网站模板下载基于PbootCMS内核的响应式模板,为AI智能硬件、电子产品等科技企业打造,通过技术创新实现品牌数字化升级。查看源码 -
(PC+WAP)蓝色电子半导体电子设备网站pbootcms源码下载本模板基于PbootCMS内核开发,为半导体和电子科技行业设计,特别适合电子元器件、集成电路、半导体设备及相关技术产品展示。查看源码 -
(自适应响应式)html5高档服装定制西服pbootcms模板下载本模板基于PbootCMS内核开发,为服装定制企业和服装品牌量身打造。设计风格时尚现代,充分展现服装行业的审美特质与品牌魅力。采用HTML5响应式技术,确保在各种设备上呈现视觉效果。整站布局注重产品展示与品牌叙事,帮助企业有效展示服装系列与定制服务,提升客户体验。查看源码 -
(自适应)橙色家政服务清洁保洁服务pbootcms网站模板源码下载模板核心价值:基于PbootCMS内核开发的家政服务类网站模板,通过模块化设计展现服务项目、团队风采、服务案例等核心板块,突出时效预约、服务标准化展示等家政行业特性。查看源码 -
(自适应)品牌创意设计作品工作室pbootcms模板下载该模板适用于品牌策划、艺术设计、广告创意公司官网,亦可通过替换图文快速适配其他行;高端创意设计公司工作室网站源码极简代码架构、艺术化视觉布局、企业级功能扩展性。查看源码
| 分享笔记 (共有 篇笔记) |
