您现在的位置是:首页 > cms教程 > Ecshop商城教程Ecshop商城教程
ecshop常见sql注入漏洞修复
浪虞2025-01-21Ecshop商城教程已有人查阅
导读ecshop系统部署在阿里云服务器上,阿里云提示Web-CMS漏洞:修复方法如下:0. /good.php大概在第80行1. /admin/shopinfo.php大概在第53、71、105、123行,4个地方修复方式都一样
ecshop系统部署在阿里云服务器上,阿里云提示Web-CMS漏洞:
修复方法如下:
0. /good.php
大概在第80行
大概在第53、71、105、123行,4个地方修复方式都一样
大概在第81、105、133、155行,4个地方修复方式都一样
大概在第246行,API_UserLogin()函数中
大概在第120行
所有的$_GET['auid']修改成
大概在第336行,get_comment_list()函数中
大概在第183行,respond()函数中
对以下变量进行过滤
大概在第109行
修复方法如下:
0. /good.php
大概在第80行
$goods_id = $_REQUEST['id'];
修改为
$goods_id = intval($_REQUEST['id']);
1. /admin/shopinfo.php大概在第53、71、105、123行,4个地方修复方式都一样
admin_priv('shopinfo_manage');
修改为
admin_priv('shopinfo_manage');
$_REQUEST['id'] = intval($_REQUEST['id']);
2. /admin/shophelp.php大概在第81、105、133、155行,4个地方修复方式都一样
admin_priv('shophelp_manage');
修改为
admin_priv('shophelp_manage');
$_POST['id'] = intval($_POST['id']);
3. /api/client/includes/lib_api.php大概在第246行,API_UserLogin()函数中
/* SQL注入过滤 */
if (get_magic_quotes_gpc()) {
$post['UserId']=$post['UserId']
} else {
$post['UserId']=addslashes($post['UserId']);
}
$post['username'] = isset($post['UserId']) ? trim($post['UserId']) : '';
$post['password'] = isset($post['Password']) ? strtolower(trim($post['Password'])) : '';
4. /admin/edit_languages.php大概在第120行
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';
修改为
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';
5. /admin/affiliate_ck.php所有的$_GET['auid']修改成
intval($_GET['auid']);
$_GET['auid'];
修改为
intval($_GET['auid']);
6. /admin/comment_manage.php大概在第336行,get_comment_list()函数中
$filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim($_REQUEST['sort_by']);
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim($_REQUEST['sort_order']);
修改为
$sort = array('comment_id','comment_rank','add_time','id_value','status');
$filter['sort_by'] = in_array($_REQUEST['sort_by'], $sort) ? trim($_REQUEST['sort_by']) : 'add_time';
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : 'ASC';
7. /includes/modules/payment/alipay.php 和 /app/includes/modules/payment/alipay.php大概在第183行,respond()函数中
$order_sn = trim($order_sn);
修改为
$order_sn = trim(addslashes($order_sn));
8. /includes/lib_insert.php对以下变量进行过滤
$arr['id'] = intval($arr['id']);
$arr['num'] = intval($arr['num']);
$arr['type'] = addslashes($arr['type']);
9. /admin/integrate.php大概在第109行
$code = empty($_GET['code']) ? '' : trim($_GET['code']);
修改为
$code = empty($_GET['code']) ? '' : trim(addslashes($_GET['code']));
感谢您的认可和支持
微信
支付宝
本文标签:
很赞哦! ()
图文教程
ecshop购物流程收货人邮箱改成不必填项的方法
在ECSHOP模板购物流程中,填写收货人信息的时候,大家应该都知道邮箱是必填的,但是好多人都觉得这个没有必要,应该改成不必填
ecshop去版权Powered by ecshop的方法
去掉底部的Powered by ecshop 270打开 js/common.js删除第244行:onload = function()第24
ecshop搜索商品货号搜索商品属性货号的实现方法
ECSHOP商城支持商品名称关键字,商品货号关键字等搜索商品,但不能按属性货号搜索。属性货号是ecshop属性库存的识别号,建立属性库存后,属性货号保存在products表中
ecshop底部版权结构分析和修改
我们在ecshop二次开发和ecshop使用过程中,往往需要对ecshop底部进行处理和修改.比如ecshop底部版权问题,ecshop底部程序结构问题.也有很多朋友咨询ecshop底部的一些修改问题。
相关源码
-
(自适应响应式)蓝色勘察设计院机构单位商会协会pbootcms模板下载本模板基于PbootCMS系统开发,为勘察设计院所、工程咨询单位设计,特别适合展示设计成果、技术服务和项目案例。采用响应式技术,确保设计图纸和方案以及文案在不同设备上都能清晰展示。查看源码 -
(自适应响应式)黑色酷炫高端数码摄影pbootcms网站模板源码本模板基于PbootCMS开发,为摄影工作室、个人摄影师及摄影爱好者设计。采用深色系风格,突出摄影作品展示效果,适配各类数码设备浏览。适用于作品集展示查看源码 -
(PC+WAP)红色户外岗亭钢结构岗亭pbootcms网站模板为钢结构岗亭、户外设施企业打造的高端响应式营销门户,基于PbootCMS开源内核深度开发,采用HTML5自适应架构,实现PC与移动端数据实时同步展示。查看源码 -
(自适应)酒店民宿客房旅馆pbootcms模板下载基于PbootCMS内核开发的酒店民宿行业专用网站模板,专注于为住宿服务企业提供专业高效的在线展示平台。该模板采用响应式设计结构,确保在不同终端设备上均能呈现优质浏览体验。查看源码 -
(自适应响应式)绿色环保材料设备科技类营销型网站pbootcms源码下载本模板基于PbootCMS开发,主要面向环保设备、环保材料及相关科技企业。采用HTML5+CSS3技术构建,具备响应式特性,确保在各类设备上均有良好展示效果。查看源码 -
(自适应响应式)HTML5甲醛环境检测网站模板带在线留言和资料下载本模板为甲醛检测与环保科技企业开发,采用PbootCMS内核构建。首页集成空气质量数据可视化模块,服务流程采用时间轴展示设计,检测报告板块支持PDF在线预览功能查看源码
| 分享笔记 (共有 篇笔记) |
