ecshop最新SQL注入漏洞,在阿里云服務器的時候提示。出現在后臺管理,涉及到的文件有
includes/modules/payment/alipay.php,api/client/includes/lib_api.php,admin/edit_languages.php
注入漏洞,影響到所有包括ecshop,大小京東,大小商創程序以ecshop為內核的程序,到目前為止,ecshop官網還未做修復。
1.alipay.php 修復方法(約180行)
查找
$order_sn = trim($order_sn);
修改為:
$order_sn = trim(addslashes($order_sn));
2. lib_api.php 修復方法(約247行)
查找
function API_UserLogin($post)
{
修改為
function API_UserLogin($post)
{ if (get_magic_quotes_gpc()) { $post['UserId'] = $post['UserId'] } else { $post['UserId'] = addslashes($post['UserId']); }
注意位置,別改錯了。
3. admin/edit_languages.php修復方法(大概在第120行)
查找
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';
修改為:
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';//雙引號改為單引號
