ecshop common.php,ecshop include_libcommon.php SQL注射漏洞

最新推荐文章于 2021-04-15 01:12:43 发布
最新推荐文章于 2021-04-15 01:12:43 发布
阅读量56 收藏
点赞数
文章标签: ecshop common.php

在Ecshop中缺乏对参数的有效过滤,导致一个SQL注射漏洞,成功利用该漏洞的攻击者可以获得数据库及站点的完全权限

在include_libcommon.php中存在如下函数

function get_package_info($id)

{

global $ecs, $db,$_CFG;

$now = gmtime();

$sql = "SELECT act_id AS id, act_name AS package_name, goods_id ,

goods_name, start_time, end_time, act_desc, ext_info".

" FROM " . $GLOBALS['ecs']->table('goods_activity') .

" WHERE act_id='$id' AND act_type = " . GAT_PACKAGE;

$package = $db->GetRow($sql);

/* 将时间转成可阅读格式 */

if ($package['start_time'] <= $now && $package['end_time'] >= $now)

{

$package['is_on_sale'] = "1";

}

else

{

$package['is_on_sale'] = "0";

}

$package['start_time'] = local_date('Y-m-d H:i',

$package['start_time']);

$package['end_time'] = local_date('Y-m-d H:i',

$package['end_time']);

$row = unserialize($package['ext_info']);

unset($package['ext_info']);

if ($row)

{

foreach ($row as $key=>$val)

{

$package[$key] = $val;

}

}

$sql = "SELECT pg.package_id, pg.goods_id, pg.goods_number,

pg.admin_id, ".

" g.goods_sn, g.goods_name, g.market_price,

g.goods_thumb, g.is_real, ".

" IFNULL(mp.user_price, g.shop_price *

'$_SESSION[discount]') AS rank_price " .

" FROM " . $GLOBALS['ecs']->table('package_goods') .

" AS pg ".

" LEFT JOIN ". $GLOBALS['ecs']->table('goods') .

" AS g ".

" ON g.goods_id = pg.goods_id ".

" LEFT JOIN " . $GLOBALS['ecs']->table('member_price') .

" AS mp ".

"ON mp.goods_id = g.goods_id AND mp.user_rank =

'$_SESSION[user_rank]' ".

" WHERE pg.package_id = " . $id. " ".

" ORDER BY pg.package_id, pg.goods_id";

$goods_res = $GLOBALS['db']->getAll($sql);

$market_price = 0;

其中$id没有经过严格过滤就直接进入了SQL查询,导致一个SQL注射漏洞。

ECSHOP All Version

厂商补丁

ECSHOP

----------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.ecshop.com

loading-bars.svg

XIAOSHUASHUAI
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ecshop $db 载入系统参数 $_CFG
易天海
01-27 695
ecshop $db 载入系统参数 $_CFG $_CFG是通过lib_common.php中的load_config()从数据表ecs_shop_config中读出的数据 init.php 路径 ROOT_PATH/include.php/init.php require(ROOT_PATH . 'includes/inc_constant.php'); require(ROO...
ECshop.rar_WEB开发_PHP_
08-12
标题中的"ECshop.rar"指的是一个名为ECShop的软件项目的压缩包文件,它采用RAR格式进行打包。这个项目是基于WEB开发的,主要使用的编程语言是PHP。"WEB开发"标签明确了这是一个关于构建Web应用程序的知识点,而"PHP...
关于 ecshop common.js 文件 自动随机输出 Powered by ECShop
weixin_34202952的博客
06-24 225
解决 ecshop 随机出现Powered by ECShop 问题, 删掉下面的代码即可解决. ecshopcommon.js 文件中大约在261行开始,有如下代码: onload = function() { var link_arr = document.getElementsByTagName_r(String.fromCharCode(65)); ...
ecshop send.php on line 71,ECSHOP调用指定DEDECMS织梦栏目文章列表
weixin_34005314的博客
03-22 79
系统:dedecms + ecshop实现步骤:1.在文章模版goods.dwt添加一个新的库文件dede_articles.lbithemes/default/goods.dwt,请根据你的目录结构修改,如果是首页,请在index.php中添加,栏目页在category.php中添加2.themes/default/library/dede_articles.lbi相关资讯{$article.s...
360 safe.php,防止网站被黑,增强网站安全文件:360_safe3.php-防SQL注入代码
weixin_39793553的博客
03-10 1063
这个方法非常有效,是360官方提供的解决方案,就是利用这个文件360_safe3.php来防止sql注入,进一步提升网站数据库安全。很多站长对这个网站安全看得非常重,这个SQL注入漏洞是非常之恨,如果用恨之入骨这个词来形容不足为过;现在有防止SQL代码注入的文件,你会选择不使用么?那就把你的目光聚集到下面重要的步骤吧。代码偏多,无忧主机小编就不在这里展现文件代码,点击此处下载此文件:下载地址。下面...
ecshop php dwt 传值,Ecshop二次开发之自定义库文件和模板数据调用实例
weixin_34515649的博客
03-21 174
本文实例讲述了Ecshop二次开发之自定义库文件和模板数据调用方法。分享给大家供大家参考。具体方法如下:Smarty的标签非常多,也比较繁琐,所以Ecshop使用了精简版的Smarty,其中用到的Smarty模板语法:{$keywords} 输出模板变量{$array.test.abc} 输出二维数组{$lang.remark_package} 语言包$lang[remark_package]{i...
ecshop init.php 文件解读
crx05的专栏
03-10 6570
<br /><?php<br /><br /> if (!defined('IN_ECS'))                           //防止非法调用,检测是否存IN_ECS这个常量,不存在的话停止运行脚本,并显示'Hacking attempt'(非法攻击)<br /> {<br />     die('Hacking attempt');<br /> }<br /><br /> error_reporting(E_ALL);                           
loachost 1.php,云豹短视频系统搭建部署文档
weixin_29446109的博客
03-17 786
一 、搭建前期准备==注:操作系统centos7.0以上 64位==1.生成软件包信息缓存yum makecache2.安装更新yum update -y3.安装必要软件yum install -y zip unzip wget curl git vim zsh nano screen4.安装oh my zsh(有助于补全和选择目录)sh -c "$(wget https://raw.github...
mobile group buy.php,mobile 本源码是php 的商城源码 - 下载 - 搜珍网
weixin_39778218的博客
04-15 72
mobile/mobile/activity.phpmobile/affiche.phpmobile/affiliate.phpmobile/allcate.phpmobile/animated_favicon.gifmobile/article.phpmobile/article_cat.phpmobile/auction.phpmobile/b.phpmobile/brand.phpmobil...
php网站常见漏洞,常见网站安全漏洞处理方法
weixin_30615531的博客
03-10 257
跨站脚本Xss漏洞/sql注入漏洞/代码执行漏洞asp程序2.解压后,将文件放到公共文件(如数据库的连接文件)所在目录3.在公共文件页面中加入代码php:2.解压后,整个文件夹放到网站根目录3.在网站的一个公用文件(如数据库的连接文件)中加入代码:if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){require_onc...
ECShop.zip_Windows编程_PHP_
08-11
在这个“ECShop.zip”压缩包中,包含了完整的ECShop源代码,允许用户自行查看、修改和定制,满足特定的业务需求。 首先,我们要了解ECShop的核心功能。它提供了商品管理、订单处理、会员系统、支付接口集成、促销...
EC.rar_ecshop_php解密
09-23
解密后的代码更容易遭受黑客攻击,因此在解密和修改后,必须确保代码的安全性,例如修复已知漏洞,防止SQL注入和XSS攻击等。 6. **版本控制与更新**:在进行解密和修改ECShop源码时,应使用版本控制系统(如Git)来...
jbd.rar_ECSHOP templates_ecshop_ecshop template
09-19
"jbd.rar" 是一个压缩包,其中包含了"ECSHOP templates_ecshop_ecshop template",这暗示了这个压缩包是ECSHOP的模板集合,特别的是“金百度模板”,它可能是专门为ECSOP设计的一款主题或模板,用于改变商店的外观和...
aaa.rar_593aaa. com_ecshop_www .aaa709.com_www.aaa 647.com_商城
09-24
ECSHOP商城系统深度解析与定制实践》 ECSHOP是一款广泛应用于电子商务领域的开源网上商城系统,以其灵活性、可扩展性和易用性深受众多企业和开发者喜爱。标题中的"aaa.rar_593aaa....
基于豪猪优化算法CPO-VMD实现信号去噪目标函数为包络信息熵 包络熵 排列熵 样本熵最小附matlab代码.rar
最新发布
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
高分项目-基于SpringBoot框架实现的毕业生信息招聘平台(包含全套源码 + 数据库sql + 论文).zip
07-19
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
Matlab实现鱼鹰优化算法OOA-CNN-LSTM-Multihead-Attention温度预测附matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
高分项目-基于SpringBoot框架实现的餐厅点餐系统(包含全套源码 + 数据库sql + 论文).zip
07-19
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
: ecshop_ v4. 1. 6_ _utf8_ re lease20210624882 10902351063. zip
09-15
ecshop_v4.1.6_utf8_re lease20210624882 10902351063.zip是一个文件的命名。根据命名可以推测出该文件是ECShop电商系统的一个版本,版本号是v4.1.6,并采用了UTF-8编码。文件名中的release20210624882表示该文件是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值