ECSHOP 最新补丁 安全漏洞补丁[20110214] 修改点总结

最新推荐文章于 2022-03-03 00:50:33 发布
最新推荐文章于 2022-03-03 00:50:33 发布
阅读量2k 收藏
点赞数
分类专栏: EcShop 文章标签: filter api patch user include file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chamtianjiao/article/details/6205042
版权
本文详细总结了ECSHOP的最新安全补丁,包括用户留言过滤、订单处理、支付方式过滤、FCK编辑器漏洞修复等多个关键点的修改,旨在帮助二次开发者更便捷地应用补丁,提高系统安全性。
摘要由CSDN通过智能技术生成

EC发布了最新补丁地址:http://bbs.ecshop.com/thread-146345-1-2.html  由于二次开发的需要很多人的代码已经和官方相差很多,自己抽时间查看了一下所需修改点的总结,希望大家更方便的使用EC。

一下是官方的说明:

1、发货批量操作时候,提示错误
2、手机购物出现错误
3、低版本mysql 提交订单出现错误
4、关闭库存管理且库存不足, 礼包不能购买
5、邮件杂志中添加插入图片插入相对路径导致发送邮件图片无法显示
6、Search.php页面过滤不严导致SQL注入漏洞以及后台开店向导会产生的漏洞
7、flow文件过滤不严
8、前台用户越权操作
9、礼包id未过滤
10、fck漏洞爆路径 危险级 中
11、商品列表组合sql时,对条件少了一层过滤。 危险级 中 
12、Ecshop2.7.2持久型XSS    危险级 中
13、mobile的搜索添加过滤  
14、文件api/checkorder.php 添加过滤 危险级中
15、支付方式注射漏洞

 

 

下面为我总结点 ,其中针对后台的order.php文件没有去总结,因为时间有限希望大家见谅,如果有错误希望大家多多提出。

1.user.php

1)增加一个htmlspecialchars过滤
 /* 更新用户扩展字段的数据 */
 查找
 
 修改为

2)用户留言增加一个用户ID号
 /* 获取用户留言的数量 */
 查找
    
 修改为

最低0.47元/天 解锁文章
tatsuya.tt
关注
专栏目录
Ecshop2.7.3[已打2.7.3漏洞补丁].ra
04-02
从官方下载源码包,也已经修复了最新漏洞
ecshop漏洞user.php,ECShop 2.7.2 最新任意用户登陆漏洞
weixin_26804345的博客
03-23 359
由于最近项目需要, 查看了下商派最新发布的ecshop 2.7.2正式版的源代码, 没想到在看到第二个文件时就发现了一处比较明显, 且低级漏洞。这个漏洞可以让任何人以任何用户身份登录到ECShop前台!漏洞的影响ECShop 2.7.2ECShop 2.7.1 不受影响漏洞的出现漏洞出现在/include/init.php文件的512行左右, 代码如下:ecshop 2.7.2 最新任意用户登录漏...
ecshop 漏洞如何修复 补丁升级与安全修复详情
网站安全专家
09-21 1562
目前ecshop漏洞大面积爆发,包括最新版的ecshop 3.0,ecshop 4.0,ecshop2.7.3全系列版本都存在着高危网站漏洞,导致网站被黑,被篡改,被挂马,许多商城系统深受其漏洞的攻击,给商城的运营者以及网站运营者带来很大的经济损失,甚至有些ecshop还被跳转到了一些恶意网站上去。那么ecshop漏洞如何修复呢? 首先我们要先了解下ecshop漏洞的发生根源,我们SINE安全工...
php去掉多字节_PHP多字节编码漏洞小结
weixin_28951347的博客
03-08 97
如果小结中有理解错误的地方,麻烦大家提出。漏洞本质:php 使用 php_escape_shell_cmd这个函数来转义命令行字符串时是作为单字节处理的而当操作系统设置了GBK、EUC-KR、SJIS等宽字节字符集时候,将这些命令行字符串传递给MySQL处理时是作为多字节处理的复制代码先看个简单的例子header('Content-type: text/html; charset=gbk');//...
ECSHOP防信息收采集补丁,ecshop信息泄漏修复补丁ECSHOP安全补丁,ECSHOP漏洞补丁
程序发烧猿's Blog
03-03 148
这不是一般的安全补丁,而是让你避免网站信息的泄漏。许多刚接触Ecshop的站长都没有注意到这个,其实在我们使用官方完整版的时候,程序会通过api.ecshop.com主打发送相关信息到Ecshop官网做记录。
ECShop 安全补丁 v3.0.0 Release 20161214
12-03
ECSHOP是一款开源的网上商店系统。由专业的开发团队升级维护,为您提供及时高效的技术支持,您还可以根据自己的商务特征对... 补丁安装步骤: 如果未修改过程序,可以用补丁文件直接覆盖。 如果修改补丁里面对应
ECSHOP最新补丁,1120的
01-06
这个补丁的发布对于ECSHOP用户来说至关重要,因为它意味着修复了已知的安全漏洞或其他功能性问题。在网络安全日益重要的今天,及时应用系统补丁是防止黑客攻击、保护用户数据安全的重要步骤。ECSHOP作为电商系统,...
ECShop 安全补丁 v3.0.0 Release 20161230
10-23
如果修改补丁里面对应的文件,请用文件比对工具,对比原来程序,再按里面的更改修改您的文件。勿直接覆盖,不然会把您修改过的功能覆盖掉。 ECShop网店系统 v3.0.0 Release 20161230 更新日志:修复:1.在特定...
发布 ECShop V2.7.3 release 1106安全漏洞补丁[20130603].
08-06
发布 ECShop V2.7.3 release 1106安全漏洞补丁[20130603].rar
ecshop漏洞修复整理
热门推荐
龚清林的博客
06-01 6万+
1、ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。 路径:/api/client/api.php、/api/client/includes/lib_api.php 参照以下修改: function API_UserLogin($post) { /* SQL注入过滤 ...
ecshop常见错误列表 错误 /temp/compiled/top10.lbi.php on line 22
ecshop数据采集发布接口,zencart,lightinthebox,shopex 采集,快客
06-29 3518
1   ecshop 错误 /temp/compiled/top10.lbi.php on line 22   你到后台 商品分类 - 分类编辑 之后的首页推荐里面 勾选 “热门”“新品”“推荐” 之后,相关的模块内就会出现这个分类的标签了。然后如果这些分类下面有热门商品等,鼠标击就会列出来了。 以上问题由快客提供。   2  Strict Standards: Only variab
ecshop前台模板页显示用户等级的代码修改
phphot
07-17 4243
受 pandagao 关于烧包网会员等级显示启发 今天实现了前台模板会员等级显示的修改1.特殊会员组等级显示  以下代码是由pandagao 的帖子修改而来,修改了数据库表前缀不是ecs和等级名称不是取[rank_name]的问题a) /includes/lib_clips.php 文件第526行找到$sql = "SELECT pay_points, user_money, last_time
ECSHOP 常量定义文件
chamtianjiao的专栏
04-03 8203
<br />常量 文件路径为lincludes/inc_constant.php<br /><?php /** * ECSHOP 常量 * ============================================================================ * 版权所有 2005-2010 上海商派网络科技有限公司,并保留所有权利。 * 网站地址: http://www.ecshop.com; * ------------------------
EcShop 中关于注册推荐 填写推荐人的功能实现
chamtianjiao的专栏
02-18 6225
前几天有人提出这个注册推荐功能,我和他说针对EC来说是有推荐注册提成提积分的功能的,他说想在注册时使用这个。发现网上是有这方面的论述的,但是很遗憾貌似是有问题的所以今天把这个重新修改下在这里记录下希望以后能用的上。1、修改注册页面文件 themes/模板/ user_password.dwt查找代码 ... 在其下加入输入框(当然这里你也可以写成if判断形势,这样有利于整体的管理更傻瓜){$lang.label_rec_user}这里涉及到语言变量的加入不多说了。
EcShop常用 促销活动表结构
chamtianjiao的专栏
12-17 5843
<br /><br />促销活动<br />Sql代码<br /> --   -- Table structure for table `ecs_favourable_activity`   --     CREATE TABLE IF NOT EXISTS `ecs_favourable_activity` (     `act_id` smallint(5) unsigned NOT NULL auto_increment,---自增id     `act_name` varchar(255) NOT 
ECSHOP 计划任务总结
chamtianjiao的专栏
03-30 4630
1.EC本身的计划任务是通过前台页面触发而执行的,通过后台的相关设置来实现2.EC后台开启   后台->商店设置->基本设置->是否开启命令行调用计划任务->是   这里注意的是要选择 否   在includes/lib_insert.php文件中的第63行   开启反而不能执行...   所以这里选择否3.page_footer.lbi中加{insert name='query_info'},官方模板是有的。4.计划任务安装
关于Genuine模板浏览历史变形的解决方法(其它 模板应该同样适用)
chamtianjiao的专栏
01-14 1028
1、先看原理首先是通过{insert name='history'} 加载的信息在 histpry.ibl主要样式修改要在includes/lib_insert.php的function insert_history() 方法。2.修改如下a.首先说下原因:是js控制整个historybox高度;根据每个li叠加得出然而原样式没有控制li的高度而是根据内容自适应,所以出现错位。b.修改文字内容li的样式单独控制,使整个li的高度唯一确定,则问题自然迎刃而解修改 {insert name='history'}
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值