ECSHOP商城2.73注入漏洞修复

admin丨2019-07-11   主要有3个漏洞,分别是includes/modules/payment/alipay.php,api/client/includes/lib_api.php,admin/edit_languages.php注入漏洞。      1.includes/modules/payment/alipay.php修复方法(大概在第180行)      $order_sn = trim($order_sn);      修改为      $order_sn = trim(addslashes($order_sn));      2.api/client/includes/lib_api.php修复方法(大概在第247行)

      function API_UserLogin($post)

          {

      修改为

      function API_UserLogin($post)

          { if (get_magic_quotes_gpc()) { $post['UserId'] = $post['UserId'] } else { $post['UserId'] = addslashes($post['UserId']); }

      3.admin/edit_languages.php修复方法(大概在第120行)      $dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';

      修改为      $dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';      修复完成

 

 

最新增加


修改以下代码,可以暂避免此攻击。但不排除通过其它函数攻击的途径。
在inludes/lib_insert.php中
找到:

function insert_ads($arr)
{

替换为:

function insert_ads($arr)
{
$arr['num'] = intval($arr['num']);
$arr['id'] = intval($arr['id']);

 

问题咨询 您现在面临的问题?

联系我们

13840532693

QQ:1060902345

邮箱:1060902345@qq.com

辽宁省沈阳市和平区三好街

云恒微信客服

云恒公众号

收缩