您现在的位置是:首页 > cms教程 > Ecshop商城教程Ecshop商城教程
ecshop常见sql注入漏洞修复
浪虞2025-01-21Ecshop商城教程已有人查阅
导读ecshop系统部署在阿里云服务器上,阿里云提示Web-CMS漏洞:修复方法如下:0. /good.php大概在第80行1. /admin/shopinfo.php大概在第53、71、105、123行,4个地方修复方式都一样
ecshop系统部署在阿里云服务器上,阿里云提示Web-CMS漏洞:
修复方法如下:
0. /good.php
大概在第80行
大概在第53、71、105、123行,4个地方修复方式都一样
大概在第81、105、133、155行,4个地方修复方式都一样
大概在第246行,API_UserLogin()函数中
大概在第120行
所有的$_GET['auid']修改成
大概在第336行,get_comment_list()函数中
大概在第183行,respond()函数中
对以下变量进行过滤
大概在第109行
修复方法如下:
0. /good.php
大概在第80行
$goods_id = $_REQUEST['id'];
修改为
$goods_id = intval($_REQUEST['id']);
1. /admin/shopinfo.php大概在第53、71、105、123行,4个地方修复方式都一样
admin_priv('shopinfo_manage');
修改为
admin_priv('shopinfo_manage');
$_REQUEST['id'] = intval($_REQUEST['id']);
2. /admin/shophelp.php大概在第81、105、133、155行,4个地方修复方式都一样
admin_priv('shophelp_manage');
修改为
admin_priv('shophelp_manage');
$_POST['id'] = intval($_POST['id']);
3. /api/client/includes/lib_api.php大概在第246行,API_UserLogin()函数中
/* SQL注入过滤 */
if (get_magic_quotes_gpc()) {
$post['UserId']=$post['UserId']
} else {
$post['UserId']=addslashes($post['UserId']);
}
$post['username'] = isset($post['UserId']) ? trim($post['UserId']) : '';
$post['password'] = isset($post['Password']) ? strtolower(trim($post['Password'])) : '';
4. /admin/edit_languages.php大概在第120行
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';
修改为
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';
5. /admin/affiliate_ck.php所有的$_GET['auid']修改成
intval($_GET['auid']);
$_GET['auid'];
修改为
intval($_GET['auid']);
6. /admin/comment_manage.php大概在第336行,get_comment_list()函数中
$filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim($_REQUEST['sort_by']);
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim($_REQUEST['sort_order']);
修改为
$sort = array('comment_id','comment_rank','add_time','id_value','status');
$filter['sort_by'] = in_array($_REQUEST['sort_by'], $sort) ? trim($_REQUEST['sort_by']) : 'add_time';
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : 'ASC';
7. /includes/modules/payment/alipay.php 和 /app/includes/modules/payment/alipay.php大概在第183行,respond()函数中
$order_sn = trim($order_sn);
修改为
$order_sn = trim(addslashes($order_sn));
8. /includes/lib_insert.php对以下变量进行过滤
$arr['id'] = intval($arr['id']);
$arr['num'] = intval($arr['num']);
$arr['type'] = addslashes($arr['type']);
9. /admin/integrate.php大概在第109行
$code = empty($_GET['code']) ? '' : trim($_GET['code']);
修改为
$code = empty($_GET['code']) ? '' : trim(addslashes($_GET['code']));
感谢您的认可和支持
微信
支付宝
本文标签:
很赞哦! ()
图文教程
ecshop会员注册自动发送红包的实现方法
一、我们在ecshop后台增加一种红包类型请把新增加的红包类型的名称设置为注册送红包二、修改includes/lib_common.php,在其文件最后?>前加一个函数-
ecshop购物车页面继续购物按钮怎么改成回到上一步
ecshop购物车页面继续购物按钮改成回到上一步的修改方法:大家都知道,ecshop 的购物车页面有的继续购物按钮是返回到首页的,而这样是非常不利于用户体验的 
ecshop文件dwt, lbi详解
Ecshop包括的文件夹有admin、api、cert、data、images、includes、js、 languages、plugins、temp、theme、wap、widget这些文件夹,和根目录下的所有.php文件。这些文件和文
ecshop多货币切换插件,多货币切换二次开发教程教程
1、首先在我们的后台网店设置里要添加汇率转换的功能,如何添加网店功能自己摸索一下,你要把添加的功能插入表里。我们的汇率都是和美元进行转换的。
相关源码
-
pbootcms网站网络公司个人作品展示类网站源码(自适应)为网站建设公司、网络服务企业打造的响应式门户解决方案,基于PbootCMS内核深度开发。采用前沿自适应架构,无缝适配手机端交互与PC端展示需求。查看源码 -
(PC+WAP)绿色环保建筑设备通用行业pbootcms源码下载通过模块调整可适配园林景观、装配式建筑、绿色装修等生态建设相关领域。预制绿色建材展示、能耗模拟等专业模块,集成项目案例、环保工艺等建筑行业特色内容结构,测试数据包含LEED认证体系查看源码 -
(自适应)文案文档作文写作word资源网站模板下载本模板基于PbootCMS系统深度开发,针对电影解说、文案分享类网站的特殊需求设计。采用响应式布局技术,确保在手机端和桌面端都能呈现专业的内容展示效果,帮助运营者高效管理影视解说资源。查看源码 -
(PC+WAP)玻璃钢不锈钢钢材环保设备pbootcms网站模板采用PbootCMS内核开发的响应式网站模板,为玻璃钢环保设备制造、不锈钢钢材贸易企业设计,适配产品展示及企业服务场景。通过自适应技术实现PC与WAP端数据实时同步查看源码 -
(PC+WAP)红色户外岗亭钢结构岗亭pbootcms网站模板为钢结构岗亭、户外设施企业打造的高端响应式营销门户,基于PbootCMS开源内核深度开发,采用HTML5自适应架构,实现PC与移动端数据实时同步展示。查看源码 -
(自适应响应式)供应链进出口服务pbootcms企业网站源码为供应链管理、进出口服务类企业设计,特别适合展示物流网络、贸易服务和供应链解决方案。采用响应式技术,确保在各类设备上都能呈现企业服务内容。查看源码
| 分享笔记 (共有 篇笔记) |
