自从ECSHOP2.7.3起模板不再支持php代码。如何解决?

最新推荐文章于 2021-04-15 07:18:09 发布
最新推荐文章于 2021-04-15 07:18:09 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: php ecshop网店系统二次开发

自从ECSHOP2.7.3起模板不再支持php代码。如何解决?

时间:2013-10-16 15:32:24 来源: 模板城 作者:清风 点击: 1681
自从ECSHOP2.7.3起模板不再支持php代码。如何解决?其实是ECSHOP模板解析时过滤了PHP代码。整个重点主要是改includes目录下的cls_templage.php这个文件,ECshop的模板是支持php代码的,主要是为了防范挂...

自从ECSHOP2.7.3起模板不再支持php代码。如何解决?

其实是ECSHOP模板解析时过滤了PHP代码。整个重点主要是改includes目录下的cls_templage.php这个文件,

ECshop的模板是支持php代码的,主要是为了防范挂马,这个给一些不法分子创造了挂马的机会,这些不法分子挂马步骤很可能是:

1、通过ecshop的漏洞搞SQL注入,暴出管理员密码md5值,然后通过**md5得到管理密码。(注:防止暴出管理密码md5值的方法是关闭 display_errors,并且修改cls_mysql.php里的ErrorMsg函数,注释掉所有错误输出代码或把错误写入文件)

2、进入管理后台,通过模板管理->库项目管理,编辑lbi文件,添加php代码,例如<?php @eval($_POST['lx']);?>

3、到这里,就完全控制这个站了,想挂什么马就挂什么马。

可见,ECshop的模板支持php代码这点是非常危险的,因此我们应该过滤模板里的所有php代码。

方法如下:

1、修改cls_templage.php文件,添加函数:

function delete_php_code($content)
{
if(!empty($content))
{
$pattern='/<?(.|rn|s)*?>/U';

return preg_replace($pattern,'',$content);
}
}
2、第165行$out = $this->_eval($this->fetch_str(file_get_contents($filename)));修改为:

$out = $this->_eval($this->fetch_str($this->delete_php_code(file_get_contents($filename))));
3、第260行$source = $this->fetch_str(file_get_contents($filename));修改为:

$source = $this->fetch_str($this->delete_php_code(file_get_contents($filename)));
这样,模板里的php代码就被过滤掉了。


    function fetch_str($source)
    {
        if (!defined('ECS_ADMIN'))
        {
            $source = $this->smarty_prefilter_preCompile($source);
        }
        $source=preg_replace("/([^a-zA-Z0-9_]{1,1})+(copy|fputs|fopen|file_put_contents|fwrite|eval|phpinfo)+( |\()/is", "", $source);
        if(preg_match_all('~(<\?(?:\w+|=)?|\?>|language\s*=\s*[\"\']?php[\"\']?)~is', $source, $sp_match))
        {
            $sp_match[1] = array_unique($sp_match[1]);
            for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
            {
                $source = str_replace($sp_match[1][$curr_sp],'%%%SMARTYSP'.$curr_sp.'%%%',$source);
            }
             for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
            {
                 $source= str_replace('%%%SMARTYSP'.$curr_sp.'%%%', '<?php echo \''.str_replace("'", "\'", $sp_match[1][$curr_sp]).'\'; ?>'."\n", $source);
            }
         }
         return preg_replace("/{([^\}\{\n]*)}/e", "\$this->select('\\1');", $source);
    }



2.73 增加了额

        $source=preg_replace("/([^a-zA-Z0-9_]{1,1})+(copy|fputs|fopen|file_put_contents|fwrite|eval|phpinfo)+( |\()/is", "", $source);
        if(preg_match_all('~(<\?(?:\w+|=)?|\?>|language\s*=\s*[\"\']?php[\"\']?)~is', $source, $sp_match))
        {
            $sp_match[1] = array_unique($sp_match[1]);
            for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
            {
                $source = str_replace($sp_match[1][$curr_sp],'%%%SMARTYSP'.$curr_sp.'%%%',$source);
            }
             for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
            {
                 $source= str_replace('%%%SMARTYSP'.$curr_sp.'%%%', '<?php echo \''.str_replace("'", "\'", $sp_match[1][$curr_sp]).'\'; ?>'."\n", $source);
            }
         }



解决方法 利用 insert_functionname



zhangfeng1133
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ecshop 模板php,ECSHOP 模板结构说明
weixin_34392923的博客
03-22 152
ECSHOP 模板结构说明ECSHOP 模板结构说明名称 类型 备注(作用或意义) 文件(目录)名可否更改images 目录 存放模板图片目录 不可更改library 目录 存放模板库文件目录 不可更改screenshot.png 图片 用于“后台管理 -> 模板管理 -> 模板选择”显示模板缩略图。 不可更改style.css css样式表 不可更改...
Ecshop升级PHP版本到7.0
大白菜
12-13 2813
Ecshop升级PHP版本到7.0 背景故事: ‘我可以忍受黑暗,如果我未曾见过光明!’ 就看了这么一句话,就下定决心升级了。 其实也没啥,就是需要花费一定的时间去升级、维护,并且是一路走到黑的那种。 1、请先把调试模式打开,在config.php配置文件中添加如下代码: define('DEBUG_MODE', 3); //显示所有提示 + 禁用缓存 2、访问各个页面,先解决一些小错误提示 ...
ecshop 2.7.3兼容php 5.5
07-16
此版本在ecshop 2.7.3最新版本下修正, 主要是为了兼容php 5.4, php 5.5, php 5.6而努力, 相信也是兼容更新的php版本, 实现一劳永逸的效果.
ecshop有时候模板解析不了
amberom的专栏
08-22 588
ecshop有的模板解析不了,有时候要改为统一
ECShop商城系统ecshopv2.7.3支持PHP5.3 5.4 5.5等版本
lwo_cn的博客
07-09 2965
https://download.csdn.net/download/hqx012829/10277269
ECSHOP代码2.7.3
03-23
**ECSHOP代码2.7.3详解** ECSHOP是一款广泛应用于电子商务领域的开源网上商城系统,以其强大的功能、易用性和高度可定制性受到许多企业和开发者青睐。2.7.3版本是ECSHOP的一个稳定版本,其中包含了对PHP5的兼容性...
ecshop2.7.3模板 仿兰缪内衣模板 整站带数据 内衣商城
06-04
标题中的“ecshop2.7.3模板 仿兰缪内衣模板 整站带数据 内衣商城”指的是一个基于ECSHOP 2.7.3版本的电子商务平台模板,该模板是按照兰缪内衣品牌的风格进行设计的。ECSHOP是一款流行的开源电子商务系统,主要用于...
ecshop2.7.3仿京东商城简约版ecshop模板,附教程
05-03
以下是使用的一些技巧,可以看看,在这里说下,ecshop是个功能很大的商城系统,如果是你想好好的使用这个建个网站,建议您认真看看这个后台,操作试试,最好不要什么都询问我们技术,不是说想给我们的售后打折,主要...
ecshop2.7.3_京东模板
08-18
标题“ecshop2.7.3_京东模板”指的是基于ECSHOP电子商务系统的2.7.3版本,设计了一套模仿京东商城的网站模板ECSHOP是一款开源的PHP网上购物系统,广泛用于搭建各类电商网站。此模板旨在为用户提供与京东商城相似的...
ecshop模板的原理分析
无界编程
03-27 4336
模板的原理类似Smarty/ECShop这类模板的原理如下图所示。1.首先是编译模板ECShop/Smart是利用PHP引擎,所以编译的结果是一个PHP文件,其编译过程就是将分隔符{}替换成PHP的标准分隔符,将$var替换成 echo $var; 或者print $var;将其他的比如foreach和if等也替换成标准的PHP语法。将{include file…}之类的则替换成标准的PHP的in
解决ecshop页面列表页详情页出现乱码
weixin_30448685的博客
07-13 878
ecshop系统我相信大家都知道它了,国内搞个小的商城都会用到它了,但国内的产品总会有一些问题了,下面我们来介绍的就是解决ecshop页面列表页详情页出现乱码问题。 ecshop程序有时无故出现554fcae493e564ee0dc75bdf2ebf94ca错误代码,比如:554fcae493e564ee0dc75bdf2ebf94camember_info|a:1:{s:4:"name";s:...
ecshop2.7.3 在php5.4下的各种错误问题处理
天海一线处
03-17 2758
1, php5.4下安装的时候处理问题,Strict Standards: Non-static method cls_image::gd_version() should not be called statically in \install\includes\lib_installer.php on line 31   解决:找到install/includes/lib_installer
ecshop 模板支持php,ecshop模板文件不支持php语句解决办法
weixin_30044149的博客
04-15 106
很多cms程序出于安全的考虑都会禁用php语句写在模板中,这也不仅仅是安全因素,也是为了程序加载速度原因,ECshop默认的模板文件同样也不支持php语句。和大家说一下解决办法。打开includes目录下的cls_template.php文件,查找约293行function fetch_str($source)函数方法,找到如下代码:$source=str_replace($sp_match[...
ecshop 模版写php,自从ECSHOP2.7.3起模板不再支持php代码。如何解决
weixin_32252929的博客
03-10 106
自从ECSHOP2.7.3起模板不再支持php代码。如何解决?其实是ECSHOP模板解析时过滤了PHP代码。整个重点主要是改includes目录下的cls_templage.php这个文件,ECshop模板支持php代码的,主要是为了防范挂马,这个给一些不法分子创造了挂马的机会,这些不法分子挂马步骤很可能是:1、通过ecshop的漏洞搞SQL注入,暴出管理员密码md5值,然后通过**md5得到...
ecshop2.7.3+windows10(64bit)+phpstudy2018(php5.4.45+apache+mysql)
qq_32189701的博客
07-01 756
ecshop2.7.3+windows10(64bit)+phpstudy2018(php5.4.45+apache+mysql) 好记性不如烂笔头,终于决定把踩的坑记下来了呜呜呜~~~ 学MySQL的时候遇到一个案例要安装ecshop,穷人买不起那些牛逼的版本好吗~ 一、准备工作 1、下载ecshop2.7.3 ECShop V2.7.3 UTF-8 正式版 http://download.e...
ecshop2.7.3+5款简洁版模板+ectouch手机触屏版+后台美化
最新发布
08-01
ECShop 是一款开源的电子商务平台,它提供了丰富的功能和模板选择,帮助用户轻松搭建自己的网上商城。ECShop 2.7.3 是其中一个版本,具备稳定、安全和优化等特点。 ECShop 2.7.3 提供了多款简洁版模板,这些模板设计简洁大方,清晰易懂,可以有效提升用户购物体验。这些简洁版模板包含了主页设计、商品分类、商品详情、购物车、订单结算等页面,满足了用户的各种需求,同时也便于用户进行自定义修改,满足自己网站的需求。 Ectouch 是 ECShop 的手机触屏版,可以让用户在手机上浏览和购买商品。它专为移动设备设计,具有良好的响应速度和用户友好的界面,可以适应不同尺寸的手机屏幕。Ectouch 提供了简洁美观的页面,方便用户快速浏览和购买商品,同时也支持用户进行个人中心的管理,查看订单、管理收货地址等功能。 除此之外,ECShop 后台也可以美化。用户可以自定义后台的界面风格,例如修改颜色、字体等。同时,ECShop 还提供了丰富的插件和扩展,用户可以根据自己的需求选择适合的扩展插件,增加后台管理的功能和便利性。 总之,ECShop 2.7.3 提供了多款简洁版模板、Ectouch 手机触屏版以及后台美化等功能,使用户能够轻松打造一个美观、功能丰富的网上商城。无论是PC端还是移动端的用户,都能够有良好的购物体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值