设为首页收藏本站

互联网4A标准

我们一直走在国际的前沿,追求与研究从未停止

速成网站
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
齐创互联网络航空代理有限公司
齐创互联网络机械制造企业有限公司
齐创互联网络医疗行业网站建设有限公司
Guangzhou ASIA Clothes Design Co., Ltd.
创互联网络五金塑料制品有限公司
广州蚂蚁搬运有限公司
齐创互联网络搬家有限公司
齐创互联网络塑料制品公司
齐创互联网络电气科技有限公司
齐创互联网络葡萄酒贸易公司
齐创互联网络自行车有限公司
齐创互联网络装修有限公司
齐创互联网络机械制造有限公司
齐创互联网络装修公司网站建设有限公司
齐创互联网络 GuangZhou Some Electronics Co., Ltd.

ecshop专题
ecshop注入漏洞-lib_api.php
来源:本站 作者:admin 日期:2019/6/26
漏洞名称: ecshop注入漏洞
补丁编号: 2862905
补丁文件: /api/client/includes/lib_api.php
补丁来源: 云盾自研
更新时间:
漏洞描述: ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】
修改:api/client/includes/lib_api.php
 function API_UserLogin($post)
    {
     if(get_magic_quotes_gpc()){
          $post['UserId']=$post['UserId'];
        }else{
          $post['UserId']=addslashes($post['UserId']);
        }
 
 
       $post['username'] = isset($post['UserId']) ? trim($post['UserId']) : '';
        $post['password'] = isset($post['Password']) ? strtolower(trim($post['Password'])) : '';
 
        /* 检查密码是否正确 */
        $sql = "SELECT user_id, user_name, password, action_list, last_login".
        " FROM " . $GLOBALS['ecs']->table('admin_user') .
        " WHERE user_name = '" . htmlspecialchars($post['username']). "'";//对用户名进行简单过滤
 
        $row = $GLOBALS['db']->getRow($sql);

想了解更多,请访问齐创互联,点击东莞网站建设查看,需要网站建设,网站制作,浏览网站模板快速建站
点击在线客服联系,联系电话:15811653920 联系人: 丁生.

上一篇:ecshop-Non-static method cls_image::gd_version() should not be called statically
下一篇:ecshop注入漏洞-/flow.php

建站龙头,低价保证,贴心服务

权威认证建站龙头企业,合理定价,实现与客户的长期合作,30万家企业级用户优选!

友情链接: 网站建设 |深圳网站建设 |广州网站建设 |网站建设
Copyright@2005-2014 齐创互联网络
联系电话:15811653920 在线客服 客服咨询
本站热门关键词:东莞网站建设|东莞网页设计|东莞网站制作|东莞网络公司|东莞网页设计|东莞网页制作|东莞关键词优化|东莞营销型网站建设|东莞网站策划