ECSHOP屏蔽SQL提示 防止ECSHOP注入

最新推荐文章于 2024-09-11 00:04:15 发布
最新推荐文章于 2024-09-11 00:04:15 发布
阅读量116 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/wangblognet/archive/2012/10/17/2728049.html
版权

通常我们说的注入就是利用了 ecshop的sql错误提示显示出了MD5的密码

对网店来说是非常危险的!


要解决这个问题,最好的方法当然就屏蔽ecshop的sql错误,这样,无论如何的注入都束手无策!


直接看代码: 

找到 \includes\cls_mysql.php

function ErrorMsg($message = '', $sql = '') 


{ 


if ($message) 


{ 


echo "<b>ECSHOP info</b>: $message\n\n<br /><br />"; 


//print('<a href="http://faq.comsenz.com/?type=mysql&dberrno=2003&dberror=Can%27t%20connect%20to%20MySQL%20server%20on" target="_blank">http://faq.comsenz.com/</a>'); 


} 


else 


{ 


echo "<b>MySQL server error report:"; 


print_r($this->error_message); 


//echo "<br /><br /><a href='http://faq.comsenz.com/?type=mysql&dberrno=" . $this->error_message[3]['errno'] . "&dberror=" . urlencode($this->error_message[2]['error']) . "' 

target='_blank'>http://faq.comsenz.com/</a>"; 


}

 

修改为:

 

function ErrorMsg($message = '', $sql = '') 


{ 


if ($message) 


{ 


//echo "<b>ECSHOP info</b>: $message\n\n<br /><br />"; 


//print('<a href="http://faq.comsenz.com/?type=mysql&dberrno=2003&dberror=Can%27t%20connect%20to%20MySQL%20server%20on" target="_blank">http://faq.comsenz.com/</a>'); 


} 


else 


{ 


//echo "<b>MySQL server error report:"; 


//print_r($this->error_message); 


//echo "<br /><br /><a href='http://faq.comsenz.com/?type=mysql&dberrno=" . $this->error_message[3]['errno'] . "&dberror=" . urlencode($this->error_message[2]['error']) . "' 

target='_blank'>http://faq.comsenz.com/</a>"; 


} 
 

exit; 


} exit; 


}

 

 

即把所有的错误输出屏蔽 这样很方便的就解决了注入问题。增加网店的安全系数!

 

转载于:https://www.cnblogs.com/wangblognet/archive/2012/10/17/2728049.html

weixin_30650859
关注
ecshop全系列SQL注入漏洞分析
d59hao的博客
05-04 298
referer值未加判断直接引用,可被攻击者控制输入利用_echash = “554fcae493e564ee0dc75bdf2ebf94ca” 为定值进行切分,构造payload利用反序列化漏洞,构造payload,传输恶意代码insert_ads函数的SQL拼接不规范导致存在SQL注入make_val函数拼接字符串输入,_eval中调用用户输入通过eval最终导致任意命令执行。
安全测试——SQL注入
成都汇智动力的博客
07-31 791
SQL注入是Web系统安全攻击的常见手段,攻击者通过构建特殊的输入或非法的SQL命令插入表单或页面请求的字符串中后提交,从而达到利用服务器执行恶意SQL语句的目的。SQL注入攻击成功后,可直接屏蔽服务器验证,获取访问权限,甚至获取服务器的最高权限,执行篡改记录等恶意行为。 容易被实施SQL注入的主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 SQL注入根据注入技术原理的不同,一般分为数据库平台注入和程序代码注入。数据库平台SQL注入由Web系统使用的数据库平台配置不...
ecshopsafety.php,Ecshop前台sql注入(20171228)
weixin_36250086的博客
03-12 173
这里我需要说明一下echsop具备全局的一个安全转义全局文件:/includes/init.phpif (!get_magic_quotes_gpc()){if (!empty($_GET)){$_GET = addslashes_deep($_GET);}if (!empty($_POST)){$_POST = addslashes_deep($_POST);}$_COOKIE = addsla...
安装ecshop网店系统常见错误及解决办法
wuDaSong_的专栏
10-12 8581
创建配置文件............成功 创建数据库............成功 安装数据............失败 Warning: date_default_timezone_get(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.ti
ecshop mysql 类_ECSHOP MYSQL 公用类库中的autoExecute方法
weixin_32391045的博客
02-01 177
include/cls_mysql.php正常操作例如:$sql = “UPDATE ecs_user SET user = ‘buxuan’ WHERE user_id = ″;$db->query($sql);用ecshop的autoExecute操作,只需要$table = “ecs_user”;$field_values = array(“user” => “buxuan”);...
ecshop用缓存、关闭缓存
大熊
12-12 233
ecshop用缓存 打开includes/cls_template.php这个文件找到198行至202行(我使用的是2.73版本,其他版本也应该大同小异),我们看到ecshop是通过file_put_contents函数将缓存写入文件的,我们只要将其注释掉就可以了。 修改前代码如下: if (file_put_contents($hash_dir . '/' . $cachename ....
网络逻辑漏洞、SQLMAP、Nmap、burpsuite及其命令的使用方法
weixin_65695770的博客
04-07 4195
SQLMAP sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 sqlmap支持五种不同的注入
实训周笔记
m0_67604367的博客
04-07 1997
一:端口扫描:Nmap(扫描器之王) 1. namp 192.168.1.1 2. namp -A –T4 -v 192.168.1.1 -A 开启操作系统识别和版本识别功能 T 0-6档,设置扫描的快慢,0最慢,6最快;级别越高,对网络带宽要求越高,另外扫描太快,容易被安全设备发现;一般选择T4 v 显示信息的级别,-vv 显示更详细的信息 3 . 192.168.1.1 扫描单个目标 192.168.1.1 192.168.1.5 … ...
php面试题大全及答案
精灵码农
01-21 1万+
** ## 包括PHP基础部分、数据库部分、面向对象部分、ThinkPHP部分部分、smarty模板引擎、二次开发系统(DEDE、ecshop)、微信公众平台开发、对于自身掌握的技术描述等几部分PHP面试题。 ** 1、PHP语言的一大优势是跨平台,什么是跨平台? PHP的运行环境最优搭配为Apache+MySQL+PHP,此运行环境可以在不同操作系统(例如windows、Linux等)上配置,不受操作系统的限制,所以叫跨平台 2、WEB开发中数据提交方式有几种?有什么区别?百度使用哪种方式? Get
/includes/cls_template.php on line 406 Ecshop出现问题
橙-极纪元-cplvfx-JJY.Cheng
04-11 2839
客户在安装完模版后发现自己的网站出现 /includes/cls_template.php on line 406,下面ecshop开发中心教程帮助大家解决 ecshop 406错误 includes/cls_template.php文件中406行有这么一句: $tag_sel = array_shift(explode(' ', $tag)); 修改为 $tag_arr = e
cls mysql_ecshop错误includes\cls_mysql.php on line 163,165,173 这种怎么办
weixin_42172204的博客
01-19 313
Warning:date_default_timezone_get():Itisnotsafetorelyonthesystem'stimezonesettings.Youare*required*tousethedate.timezonesettingorthedate_default_timezone_set()function.In...Warning: date_default_timez...
ecshop SQL注入通杀漏洞以及后台拿SHELL
11-25 8445
ecshop SQL注入通杀漏洞以及后台拿SHELL 文章来源:小灰博客|时间:2013-12-10 16:09:59|作者:Leo |2 条评论 文章分类:安全技术    标签: 安全教程 发现本地有家商城太自大了,真是目中无人啊…果断拿下给个警告,下面记载下这个Ecshop通杀漏洞吧! 先用下面的代码看下表的前缀(运气好下面的代码就把账号密码注射出来了) search.ph
使用ecshop电子商务系统的100个小问题
无界编程
05-22 1万+
总结100条关于操作ecshop电子商务系统的小问题。  1:如何修改网站"欢迎光临本店"    回答:languages\zh_cn\common.php文件中, $_LANG['welcome'] = '欢迎光临本店';将他修改成你需要的字样。    2:如何修改首页"热门搜索关键字"     回答:后台->系统设置->网店设置->显示设置->首页搜索关键字,修改他的内容,然后保存    3:
ECSHOP商城系统过滤不严导致SQL注入漏洞
盐碘
03-19 1543
添加时间: 2009-05-25 系统编号: WAVDB-01431 影响版本: ECSHOP 2.6.1/2.6.2 程序介绍:  ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护,为您提供及时高效的技术支持,您还可以根据自己的商务特征对ECSHOP进行定制,增加自己商城的特色功能。 漏洞分析: 文件includes/init.php判断g
ecshop测试_ECShop最新4.1.0前台免登录SQL注入0day漏洞披露与分析
weixin_36124631的博客
01-19 1197
0x00 漏洞概述影响版本:ecshop4.1.0及以下是否需要身份认证:否,前台漏洞漏洞类型:SQL注入CNVD编号:CNVD-2020-58823,https://www.cnvd.org.cn/flaw/show/2454613漏洞来源:xcheck代码安全检查源码获取:https://www.ecshop.com/,登录注册下载,最新版本为4.1.1(已修复)。0x01 漏洞详情...
ecshop 全系列版本网站漏洞 远程代码执行sql注入漏洞
网站安全专家
09-13 2570
ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代码执行sql注入语句漏洞,导致可以插入sql查询代码以及写入代码到网站服务器里,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机,可以直接获取网站ftp的权限,该漏洞POC已公开,使用...
ecshop漏洞修复整理
热门推荐
龚清林的博客
06-01 6万+
1、ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。 路径:/api/client/api.php、/api/client/includes/lib_api.php 参照以下修改: function API_UserLogin($post) { /* SQL注入过滤 ...
PHP智驭未来悦享生活智慧小区物业管理小程序系统源码
2401_84413757的博客
09-10 576
它集成了多项实用功能,无论是业主还是物业管理人员,都能通过简单的一键操作,轻松实现小区的日常管理。无论是清晨的晨跑,还是夜晚的归家,都不再需要为这些琐事烦恼,真正实现了“智驭未来,悦享生活”。无论是分享生活的点滴,还是参与社区的各类活动,都能让业主们感受到家的温暖和归属感。而今天,我要带大家走进的,正是这股智慧浪潮中的一股清流——“智驭未来悦享生活”智慧小区物业管理小程序。“智驭未来悦享生活”智慧小区物业管理小程序的出现,不仅为小区管理带来了革命性的变革,更为我们描绘了一幅未来生活的美好蓝图。
一码空传临时网盘PHP源码,支持提取码功能
最新发布
爱酷码的博客
09-11 246
一码空传临时网盘源码V2.0免费授权,该源码提供了一个简单易用的无数据库版临时网盘解决方案。前端采用了layui开发框架,后端使用原生PHP编写,没有引入任何开发框架,保持了代码的简洁和高效。这个程序使用了一个无数据库配置读写类,并借鉴了网络上的config文件读写代码。用户可以通过提取码来提取文件,无需上传文件到服务器。该程序还配备了一个后台管理系统,而且不需要数据库支持。用户上传的文件会保存在upload文件夹中,并按照md5算法进行加密和重命名,确保每次加密结果都不相同。
一键清除ecshop体验数据的SQL命令
"清空ECShop体验数据的简单SQL命令" ECShop是一款流行的开源电子商务系统,广泛应用于搭建在线购物网站。由于其开源特性,许多开发者在下载ECShop源码时会发现其中包含了一些预设的演示数据,这些数据有助于用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值