修改ECshop 过滤模板里的php代码,防止模板被挂马
2016-07-07 15:13 来源:www.chinab4c.com 作者:ecshop专家
ECshop的模板是支持php代码的,这个给一些不法分子创造了挂马的机会,这些不法分子挂马步骤很可能是: 1、通过ecshop的漏洞搞SQL注入,暴出管理员密码md5值,然后通过**md5得到管理密码。(注:防止暴出管理密码md5值的方法是关闭display_errors,并且修改cls_mysql.php里的ErrorMsg函数,注释掉所有错误输出代码或把错误写入文件) 2、进入管理后台,通过模板管理->库项目管理,编辑lbi文件,添加php代码,例如<?php @eval($_POST['lx']);?> 3、到这里,就完全控制这个站了,想挂什么马就挂什么马。 可见,ECshop的模板支持php代码这点是非常危险的,因此我们应该过滤模板里的所有php代码。 方法如下: 1、修改cls_templage.php文件,添加函数: function delete_php_code($content) { if(!empty($content)) { $pattern='/<?(.|rn|s)*?>/U'; return preg_replace($pattern,'',$content); } } 2、第165行$out = $this->_eval($this->fetch_str(file_get_contents($filename)));修改为: $out = $this->_eval($this->fetch_str($this->delete_php_code(file_get_contents($filename)))); 3、第260行$source = $this->fetch_str(file_get_contents($filename));修改为: $source = $this->fetch_str($this->delete_php_code(file_get_contents($filename))); 这样,模板里的php代码就被过滤掉了。 如果模板里面含有php代码,而导致页面混乱的,可以通过以上方法删除过滤php模板。 |
回答:
我记得这个问题早就改过了 |
最新版ECSHOP已经做了过滤。 |
ECshop还是很安全的啊 |
相信楼主感谢 |
最近更新
常用插件
- ecshop2.7.2退换货申请插件
ecshop2.7.2退换货申请插件,主要是在 ecshop 现在的基础上,对ecshop的订单处...
- ecshop二次开发商品购买备
ecshop销售统计 插件介绍:ecshop二次开发订单销售统计和商品购买备注服...
- ecshop注册推荐送现金插件
ecshop中的促销售功能还不是很完善,随着电子商务系统的发展和进步,...
- ecshop会员中心订单excel倒出
ecshop会员中心订单excel倒出...
- ecshop二次商品订购人信息
ecshop二次商品订购人信息填写插件,有时候给朋友送花,或者是送礼品的...
ecshop热门问答
ecshop热门资料
ecshopGBDian
ecshoptmp
ecshop切割
ecshop亮点
ecshop末尾
ecshop雷达
ecshop国外空间
ecshop兼职人员
ecshop批量图片本地化
ecshop工商
ecshop应用
ecshop顺开导航
ecshopdisplay
ecshop运价
ecshopunusable
ecshop华语
ecshopIII
ecshop联盟
ecshop绿茶
ecshop虚拟卡购买
ecshop网站管理员
订单统计
ecshop何办法
ecshop天天团
ecshop网站地址
ecshop遮盖
ecshop模范
ecshop详细页
ecshopget_data
ecshop导航栏问题