经常关心无忧主机(www.51php.com)最近更新的文章都是关于sql注入,和网站安全设置方面的基础教程,最近盛传ecshop v2.72版本的爆出产品搜索功能漏洞,该漏洞可以被他人利用,通过sql注入方式入侵ecshop网店系统。下面是官方的解决方案:

漏洞目标文件:ecshop站点根目录/mobile/seach.php

search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319pTXcopyd-code

解决方案

修改目标文件:search.php

if (is_not_null($val) )

修改为
if (is_not_null($val) && is_numeric($key))

如图:

image0018 150x150 无忧主机教你Ecshop环境下解决搜索sql注入漏洞

请无忧主机香港/美国php虚拟主机的ecshop网店老板门注意了,请检查这个漏洞,如果没有修复请赶快修复。修复方式请按照本教程的方法进行修复,本方法来源于ecshop官方网站。你也可以通过后台升级补丁的方式修复这个漏洞,如果你是本2010年12月中旬后在官方网站下载的版本,可以不用修复,官方已经在安装源文件里面修复了这一个漏洞。更多关于ecshop安全设置的知识,用户可以点击阅读ecshop网店安全设置方法(防范网页挂马)

无忧主机 提供美国/香港 纯Linux环境下高端免备案php空间,仅仅只需99元一年起。

本文地址:http://www.51php.com/ecshop/1663.html

喜欢本文或觉得本文对您有帮助,请分享给您的朋友 ^_^

阅读本文的人还阅读: