Mikel
来源: ECSHOP商城2.73后台SQL注入漏洞修复(8月12日)_温州电商-赵陇真_新浪博客
今天又发现一个ecshop后台SQL注入漏洞,在这里分享给大家,祝愿乐清的网站建设技术越来越好。
文件在/admin/comment_manage.php后台SQL注入漏洞。 /admin/comment_manage.php修复方法(大概在第336行) $filter[‘sort_by’] = empty($_REQUEST[‘sort_by’]) ? ‘add_time’ : trim($_REQUEST[‘sort_by’]);
$filter[‘sort_order’] = empty($_REQUEST[‘sort_order’]) ? ‘DESC’ : trim($_REQUEST[‘sort_order’]);
修改为 $sort = array(‘comment_id’,’comment_rank’,’add_time’,’id_value’,’status’); $filter[‘sort_by’] = in_array($_REQUEST[‘sort_by’], $sort) ? trim($_REQUEST[‘sort_by’]) : ‘add_time’; $filter[‘sort_order’] = empty($_REQUEST[‘sort_order’]) ? ‘DESC’ : ‘ASC’;
修复完成,以后有什么网站,最好还是先找赵老师看一下,以免造成成吨的损失,因小失大。 ECSHOP商城2.73最新漏洞修复大全
