PHP支持模板,模板文件支持PHP代码

最新推荐文章于 2021-12-26 09:35:39 发布
最新推荐文章于 2021-12-26 09:35:39 发布
阅读量113 收藏
点赞数
文章标签: PHP支持模板

最好不要在模板里面写php。会导致sql注入,引起后台账号泄露。

ECshop的模板是支持php代码的,这个给一些不法分子创造了挂马的机会,这些不法分子挂马步骤很可能是:

1、通过ecshop的漏洞搞SQL注入,暴出管理员密码md5值,然后通过**md5得到管理密码。(注:防止暴出管理密码md5值的方法是关闭display_errors,并且修改cls_mysql.php里的ErrorMsg函数,注释掉所有错误输出代码或把错误写入文件)

2、进入管理后台,通过模板管理->库项目管理,编辑lbi文件,添加php代码,例如一句话shell

3、到这里,就完全控制这个站了,想挂什么马就挂什么马。

可见,ECshop的模板支持php代码这点是非常危险的,因此我们应该过滤模板里的所有php代码。

如果实在要去掉ecshop模板文件过滤php标签

修改 includes/cls_template.php

可以遵循以下步骤:

去掉第288-299行以下代码:

if(preg_match_all(‘~(|language\s*=\s*[\”\’]?php[\”\’]?)~is’, $source, $sp_match))

{

$sp_match[1] = array_unique($sp_match[1]);

for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)

{

$source = str_replace($sp_match[1][$curr_sp],'%%%SMARTYSP'.$curr_sp.'%%%',$source);

}

for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)

{

$source= str_replace('%%%SMARTYSP'.$curr_sp.'%%%', '‘.”\n”, $source);

}

}

这样,模板里的php代码就被保留了。

一枚猫奴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
精美php网站模板 php源码
03-20
精美php网站模板
PHP文件缓存smarty模板应用实例分析
10-22
主要介绍了PHP文件缓存smarty模板应用方法,结合实例形式较为详细的分析了smarty模板缓存的相关使用技巧,需要的朋友可以参考下
分享97个框架模板PHP源码,总有一款适合你
zy0412326的专栏
12-26 5856
PHP框架模板源码 分享97个框架模板PHP源码,总有一款适合你 链接:https://pan.baidu.com/s/1NZUOWKoF7D0h8BtH48FBvw 提取码:ky3h 下面是文件的名字,我放了一些图片,文章里不是所有的图主要是放不下...,大家下载后可以看到。 Laravel PHP Web开发框架 v8.6.8 CodeIgniter php开源框架 4.1.5 ThinkCMFX php版内容管理框架 v6.0.6 Symfony(PHP高效开发框架) 4.4.30 Symf.
PHP代码模板
chenpingcheng4804的博客
09-05 226
<?php /** * * MySQLI连接函数说明 * * @功能: * * 主要列出MySQLI以过程方式连接数据库的相关函数 * * @version 0.0.1 * @author HH * @link ...
自己写php模板引擎,如何用php编写一个简单的模板引擎(附代码
weixin_28901327的博客
03-10 393
php web开发中广泛采取mvc的设计模式,controller传递给view层的数据,必须通过模板引擎才能解析出来。实现一个简单的仅仅包含if,foreach标签,解析$foo变量的模板引擎。编写template模板类和compiler编译类。代码如下:...
微信公众号模板消息群发php代码示例
12-19
微信模板消息只能发给一个人,如果要群发,需要通过php循环,依次发送。 注意,如果模板消息发信息时有时无,不稳定,可能你的access_token令牌更新缓存不及时,过期了.可以根据日志文件查看.建议300秒更新一下.否则会很...
基于Smarty的PHP模板引擎设计源码
04-06
本资源提供了一套基于Smarty的PHP模板引擎的设计源码,包含1112个文件,其中包括424个PHP代码文件,409个Smarty模板文件,以及244个Git忽略文件。此外,还包括12个配置文件,6个文本文件,以及4个Markdown文档。...
php模板函数 正则实现代码
10-27
有些空闲,就弄了下template函数,比较粗糙。主要是利用正则表达式,把模板文件(html文件)转换成php文件,从而实现前后台分离,即是所谓的mvc思想了
网友原创的PHP模板代码
10-30
- **模板编译**:对于大型项目,可以考虑将模板编译成PHP代码以提高执行效率。 - **错误处理**:增加异常处理机制,如模板文件不存在时抛出异常。 - **性能优化**:使用缓存机制来减少频繁读取模板文件的开销。 - **...
php代码模板
11-18
php代码模板,大多采用php技术来实现这个网站模板
ecshop不能在模板文件.dwt和.lbi中直接添加php代码的解决方法
weixin_30752699的博客
12-11 373
ecshop不能在模板文件.dwt和.lbi中直接添加php代码了,为什么呢? 因为直接在模板中加入php函数和代码,没有经过过滤,容易造成安全隐患。程序源码安全是比较重要的。不过如果有朋友希望能在模板文件中直接加入.dwt和.lbi文件,怎么办呢?需要改动哪些文件呢?其实,需要改动一个文件,即includes/cls_template.php打开此文件,找到函数 function fetch_...
PHP模板页面
CoderOne
01-20 176
# 在页面中创建cookie变量,然后将cookie变量写入cookie.txt <?php $cookie=$_GET['cookie']; file_put_contents('cookie.txt',$cookie); ?>
php程序模板,php 模板写法
weixin_42138376的博客
03-13 197
/* @author: zhuyubing@gmail.com */class Template{var $code;function Template($template){$this->code = implode('', @file($template));}function assign($name,$var=null){if(is_string($name) && ...
php调用模板
wj1124的博客
02-28 1388
文件夹的目录如下所示: index.php中调用模板header.inc.php body> include './includes/header.inc.php' ?> div id="list"> h2>帖子列表h2> div> <?php include './includes/footer.inc.php'; ?> body> 调用的
基于php的智能文件分享,在智能模板文件中包含PHP文件
weixin_39616045的博客
03-11 57
我完全不知道聪明的模板系统.我想要做的是包含一个php文件来获取.tpl文件中的一些变量(这是一个WHMCS模板).我尝试过:{php} include ('file.php'); {/php} //doesn't work{include_php file='file.php'} //doesn't work我也遵循了this question的答案.仍然无法使其正常工作.如何在WHMCS的h...
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
最新发布
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
PHP设计模式:组织代码模板
设计模式并非具体的代码或库,而是描述在特定场景下如何有效地组织和重用代码的一种模板。这些模式源于实际开发中的最佳实践,旨在提高代码的可读性、可维护性和可扩展性。 设计模式的历史可以追溯到建筑师...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值