您现在的位置是:首页 > cms教程 > Ecshop商城教程Ecshop商城教程
ecshop常见sql注入漏洞修复
浪虞2025-01-21Ecshop商城教程已有人查阅
导读ecshop系统部署在阿里云服务器上,阿里云提示Web-CMS漏洞:修复方法如下:0. /good.php大概在第80行1. /admin/shopinfo.php大概在第53、71、105、123行,4个地方修复方式都一样
ecshop系统部署在阿里云服务器上,阿里云提示Web-CMS漏洞:
修复方法如下:
0. /good.php
大概在第80行
大概在第53、71、105、123行,4个地方修复方式都一样
大概在第81、105、133、155行,4个地方修复方式都一样
大概在第246行,API_UserLogin()函数中
大概在第120行
所有的$_GET['auid']修改成
大概在第336行,get_comment_list()函数中
大概在第183行,respond()函数中
对以下变量进行过滤
大概在第109行
修复方法如下:
0. /good.php
大概在第80行
$goods_id = $_REQUEST['id'];
修改为
$goods_id = intval($_REQUEST['id']);
1. /admin/shopinfo.php大概在第53、71、105、123行,4个地方修复方式都一样
admin_priv('shopinfo_manage');
修改为
admin_priv('shopinfo_manage');
$_REQUEST['id'] = intval($_REQUEST['id']);
2. /admin/shophelp.php大概在第81、105、133、155行,4个地方修复方式都一样
admin_priv('shophelp_manage');
修改为
admin_priv('shophelp_manage');
$_POST['id'] = intval($_POST['id']);
3. /api/client/includes/lib_api.php大概在第246行,API_UserLogin()函数中
/* SQL注入过滤 */
if (get_magic_quotes_gpc()) {
$post['UserId']=$post['UserId']
} else {
$post['UserId']=addslashes($post['UserId']);
}
$post['username'] = isset($post['UserId']) ? trim($post['UserId']) : '';
$post['password'] = isset($post['Password']) ? strtolower(trim($post['Password'])) : '';
4. /admin/edit_languages.php大概在第120行
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';
修改为
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';
5. /admin/affiliate_ck.php所有的$_GET['auid']修改成
intval($_GET['auid']);
$_GET['auid'];
修改为
intval($_GET['auid']);
6. /admin/comment_manage.php大概在第336行,get_comment_list()函数中
$filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim($_REQUEST['sort_by']);
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim($_REQUEST['sort_order']);
修改为
$sort = array('comment_id','comment_rank','add_time','id_value','status');
$filter['sort_by'] = in_array($_REQUEST['sort_by'], $sort) ? trim($_REQUEST['sort_by']) : 'add_time';
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : 'ASC';
7. /includes/modules/payment/alipay.php 和 /app/includes/modules/payment/alipay.php大概在第183行,respond()函数中
$order_sn = trim($order_sn);
修改为
$order_sn = trim(addslashes($order_sn));
8. /includes/lib_insert.php对以下变量进行过滤
$arr['id'] = intval($arr['id']);
$arr['num'] = intval($arr['num']);
$arr['type'] = addslashes($arr['type']);
9. /admin/integrate.php大概在第109行
$code = empty($_GET['code']) ? '' : trim($_GET['code']);
修改为
$code = empty($_GET['code']) ? '' : trim(addslashes($_GET['code']));
感谢您的认可和支持
微信
支付宝
本文标签:
很赞哦! ()
图文教程
ecshop全国多城市分站的实现方法
ecshop中添加分站实现1个商城N个城市页面 有利于搜索优化很多朋友在问:“ECSHOP如何实现地方分站? ”
ecshop后台商品品牌搜索0记录的修改方法
以前还真没注意过这个问题,今天看到论坛里有人在问,站长亲自测试了下,发现还真的存在这个BUG。
ecshop首页搜索的关键字调用教程
关键字的设定在:后台-商店设置-显示设置--首页搜索的关键词模版中的调用代码关键字的设定在:后台-商店设置-显示设置
ecshop中ajax的调用原理
1:首先ecshop是如何定义ajax对象的。ecshop中的ajax对象是在js/transport.js文件中定义的。里面是ajax对象文件。声明了一个var Ajax = Transport;对象和一个方法Ajax.call
相关源码
-
(PC+WAP)货物运输快递物流汽车贸易pbootcms模板下载为货运代理、汽车贸易及快递企业设计的全终端适配网站系统,整合运单追踪与车辆展示核心功能模块原生开发的DIV+CSS架构,支持WebP图像压缩技术。查看源码 -
(PC+WAP)压缩机离心风机红色机械设备营销型网站pbootcms模板基于PbootCMS开发的压缩机/离心风机专用模板,助力机械设备企业构建高效营销平台;模板可编辑压缩机参数表、风机性能曲线等专业展示模块查看源码 -
(自适应多语言)WordPress开源主题MirageV资讯个人博客源码MirageV资讯类个人博客主题源码/WordPress主题/全开源MirageV 是一款开源的 WordPress 主题,支持自适应、暗黑模式、多语言等功能,查看源码 -
(自适应响应式)装修装潢设计公司网站源码下载本模板为装修设计企业打造,采用PbootCMS内核开发,整体设计突出空间美学与功能性结合。首页采用大图轮播展示工程案例,服务项目模块支持三维效果展示,呈现装修设计企业的专业形象与技术实力。查看源码 -
(自适应响应式)英文外贸汽车零配件五金机械网站模板为汽车零部件制造商与五金机械出口企业打造的响应式网站模板,内置多语言切换功能,支持产品参数表、OEM能力展示等外贸场景需求。通过结构化数据展示帮助海外买家快速理解产品规格。查看源码 -
(自适应)物流运输快递仓储货运网站模板免费下载基于PbootCMS内核开发的物流运输行业专用模板,深度适配仓储货运企业的业务展示需求。前端采用响应式布局,自动适配手机端访问,后台数据实时同步更新,帮助企业高效展示运输网络、仓储设施、服务流程等核心业务模块。查看源码
| 分享笔记 (共有 篇笔记) |
