ECSHOP商城2.73后台SQL注入漏洞修复(8月12日)_温州电商-赵陇真_新浪博客

 

来源: ECSHOP商城2.73后台SQL注入漏洞修复(8月12日)_温州电商-赵陇真_新浪博客

今天又发现一个ecshop后台SQL注入漏洞,在这里分享给大家,祝愿乐清的网站建设技术越来越好。

文件在/admin/comment_manage.php后台SQL注入漏洞。      /admin/comment_manage.php修复方法(大概在第336行)      $filter[‘sort_by’]      = empty($_REQUEST[‘sort_by’]) ? ‘add_time’ : trim($_REQUEST[‘sort_by’]);

$filter[‘sort_order’]   = empty($_REQUEST[‘sort_order’]) ? ‘DESC’ : trim($_REQUEST[‘sort_order’]);

修改为      $sort = array(‘comment_id’,’comment_rank’,’add_time’,’id_value’,’status’); $filter[‘sort_by’] = in_array($_REQUEST[‘sort_by’], $sort) ? trim($_REQUEST[‘sort_by’]) : ‘add_time’; $filter[‘sort_order’] = empty($_REQUEST[‘sort_order’]) ? ‘DESC’ : ‘ASC’;

修复完成,以后有什么网站,最好还是先找赵老师看一下,以免造成成吨的损失,因小失大。      ECSHOP商城2.73最新漏洞修复大全

分享到: 更多 (0)