无忧主机教你Ecshop环境下解决搜索sql注入漏洞

经常关心无忧主机(www.51php.com)最近更新的文章都是关于sql注入，和网站安全设置方面的基础教程，最近盛传ecshop v2.72版本的爆出产品搜索功能漏洞，该漏洞可以被他人利用，通过sql注入方式入侵ecshop网店系统。下面是官方的解决方案： 漏洞目标文件：ecshop站点根目录/mobile/seach.php search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319pTXcopyd-code 解决方案 修改目标文件：search.php if (is_not_null($val) ) 修改为 if (is_not_null($val) && is_numeric($key)) 如图： 请无忧主机香港/美国php虚拟主机的ecshop网店老板门注意了，请检查这个漏洞，如果没有修复请赶快修复。修复方式请按照本教程的方法进行修复，本方法来源于ecshop官方网站。你也可以通过后台升级补丁的方式修复这个漏洞，如果你是本2010年12月中旬后在官方网站下载的版本，可以不用修复，官方已经在安装源文件里面修复了这一个漏洞。更多关于ecshop安全设置的知识，用户可以点击阅读ecshop网店安全设置方法（防范网页挂马）。 无忧主机 提供美国/香港 纯Linux环境下高端免备案php空间，仅仅只需99元一年起。

本文地址：https://www.51php.com/ecshop/1663.html