shophelp.php,ecshop comment_manage.php漏洞修复

于 2021-04-09 19:58:20 发布
阅读量86 收藏
点赞数
文章标签: shophelp.php

ecshop的/admin/comment_manage.php中,对输入参数sort_by、sort_order未进行严格过滤,导致SQL注入。

打开admin/comment_manage.php中,约336行,

原代码:

$filter[‘sort_by’] = empty($_REQUEST[‘sort_by’]) ? ‘add_time’ : trim($_REQUEST[‘sort_by’]);

$filter[‘sort_order’] = empty($_REQUEST[‘sort_order’]) ? ‘DESC’ : trim($_REQUEST[‘sort_order’]);

替换为

$filter[‘sort_by’] = empty($_REQUEST[‘sort_by’]) ? ‘add_time’ : addslashes(trim($_REQUEST[‘sort_by’]));

$filter[‘sort_order’] = empty($_REQUEST[‘sort_order’]) ? ‘DESC’ : addslashes(trim($_REQUEST[‘sort_order’]));

开心洋葱 , 版权所有丨如未注明 , 均为原创丨未经授权请勿修改 , 转载请注明ecshop comment_manage.php漏洞修复!

良田美池
关注
EC.rar_ecshop_php解密
09-23
解密后的代码更容易遭受黑客攻击,因此在解密和修改后,必须确保代码的安全性,例如修复已知漏洞,防止SQL注入和XSS攻击等。 6. **版本控制与更新**:在进行解密和修改ECShop源码时,应使用版本控制系统(如Git)来...
ecshop漏洞修复整理
热门推荐
龚清林的博客
06-01 6万+
1、ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。 路径:/api/client/api.php、/api/client/includes/lib_api.php 参照以下修改: function API_UserLogin($post) { /* SQL注入过滤 ...
php商品评价功能,ECSHOP商品列表显示对应商品评论管理功能
weixin_42371226的博客
04-02 394
ECSHOP后台商品列表显示对应商品评论管理功能二次开发:admin/template/goods_list.htm中找到{if$add_handler}|{foreachfrom=$add_handleritem=handler}{/foreach}{/if}它的下面加入修改admin/comment_manage.php找到$where=(!empty...
php manage报错,第一天搞PHP,崩溃了,这都报错?
weixin_31451617的博客
03-19 126
if($_GET['all']=='yes'){ echo "hi"; }报错:Notice: Undefined index: all in C:\Users\Administrator\Downloads\PHPnow-1.5.6.4237493736\htdocs\oa\manage.php on line 71小弟实在搞不清,一个等号 两个等号 到底有什么区别。另外,如果改成...
eschop漏洞修改记录
为了忘却的专栏
12-29 3209
1. 漏洞名称: ecshop注入漏洞 补丁编号: 2862905 补丁文件: /api/client/includes/lib_api.php 补丁来源: 云盾自研 更新时间: 漏洞描述: ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。【注意:该补丁为云
PHP Manager 的使用
默想他的话博客
01-31 2509
PHP Manager 是Windows Server 2008  下PHP 的配置工具, 里面可以进行的大部分操作都可以直接编辑php.ini达到同样的效果。 1.注册一个php版本的操作,选择php-cgi.exe文件 2.切换PHP版本 3.PHP 的设置   2 修改php错误日志的位置   3设置上传文件大小限制,最大内存内存设置,   1和4的操作都有同样的效
ECShop.zip_Windows编程_PHP_
08-11
在这个“ECShop.zip”压缩包中,包含了完整的ECShop源代码,允许用户自行查看、修改和定制,满足特定的业务需求。 首先,我们要了解ECShop的核心功能。它提供了商品管理、订单处理、会员系统、支付接口集成、促销...
ECshop.rar_WEB开发_PHP_
08-12
标题中的"ECshop.rar"指的是一个名为ECShop的软件项目的压缩包文件,它采用RAR格式进行打包。这个项目是基于WEB开发的,主要使用的编程语言是PHP。"WEB开发"标签明确了这是一个关于构建Web应用程序的知识点,而"PHP...
ecshop-zidian.rar_ecshop_ecshop文件格式
09-19
标题中的"ecshop-zidian.rar_ecshop_ecshop文件格式"提到了一个名为"ecshop"的电子商务平台,以及一个与之相关的"zidian.rar"压缩文件。这个压缩包似乎包含了有关"ecshop"的详细数据字典,而"zidian.doc"可能是这个...
jbd.rar_ECSHOP templates_ecshop_ecshop template
09-19
"jbd.rar" 是一个压缩包,其中包含了"ECSHOP templates_ecshop_ecshop template",这暗示了这个压缩包是ECSHOP的模板集合,特别的是“金百度模板”,它可能是专门为ECSOP设计的一款主题或模板,用于改变商店的外观和...
ecshop SQL注入漏洞 admin/shopinfo.php ecshop SQL注入漏洞
Summersblue的博客
10-30 6390
阿里云这点做的很厚道,真心不错/home/wwwroot/admin/shopinfo.php ecshop SQL注入漏洞 先备份好文件后再操作/admin/shopinfo.php修复方法(大概在第53、71、105、123行,4个地方修复方式都一样) admin_priv(‘shopinfo_manage’); 修改为 admin_priv(‘shopinfo
PHPmanager配置
obgnahs的专栏
07-02 4178
下载并安装PHP Manager。https://www.jb51.net/softs/41246.html#download回到IIS界面,双击PHP Manager后,点击“Register new PHP Version”,然后选择好php目录中的php-cgi.exe,然后php.ini就会为适合IIS7.5的配置默认给你生成好了。参考https://jingyan.baidu.com/a...
基于微信小程序的新生报到系统设计与实现.docx
09-13
基于微信小程序的新生报到系统设计与实现.docx
基于java的电商平台的设计与实现.docx
09-13
基于java的电商平台的设计与实现.docx
基于java的大学生智能消费记账系统的设计与实现.docx
09-13
基于java的大学生智能消费记账系统的设计与实现.docx
基于java的植物健康系统设计与实现.docx
09-13
基于java的植物健康系统设计与实现.docx
weixin151云匹面粉直供微信小程序+springboot.rar
09-13
所有源码,都可正常运行
计算2296傅奕群.html
最新发布
09-14
计算2296傅奕群.html
基于java的手机商城设计与开发设计与实现.docx
09-13
基于java的手机商城设计与开发设计与实现.docx
: ecshop_ v4. 1. 6_ _utf8_ re lease20210624882 10902351063. zip
09-15
ecshop_v4.1.6_utf8_re lease20210624882 10902351063.zip是一个文件的命名。根据命名可以推测出该文件是ECShop电商系统的一个版本,版本号是v4.1.6,并采用了UTF-8编码。文件名中的release20210624882表示该文件是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值