ecshop的article_cat.php文件xss跨站脚本攻击漏洞 ECSHOP SQL注入漏洞

ECSHOP的article_cat.php文件,这个其实有2个未补漏洞,一个是XSS跨站脚本攻击,另一个是SQL注入漏洞
解决方法:
    /* 获得文章列表 */
    if (isset($_REQUEST['keywords']))
    {
        $keywords = addslashes(htmlspecialchars(urldecode(trim($_REQUEST['keywords']))));
        $pager['search']['keywords'] = $keywords;
        $search_url = substr(strrchr($_POST['cur_url'], '/'), 1);

用 str_replace() 函数 对 参数 $keywords 和 $search_url 进行字符过滤,需要过滤的字符有:' " \ < > & * ;

本文原创地址:https://www.ecshop.vc/article-383.html
版权所有 © 转载时必须以链接形式注明出处!

觉得本文对您有用,想收藏下来!方法很简单:请点击-〉
我们一直坚持白天工作、晚上熬夜更新资源,付出了巨大的精力和时间,其中的辛酸难以言述。

文章评论

暂时还没有任何用户评论

发表 取消
实时购买动态 ×

劉小狗会员 在 2018-10-02 购买了 ecshop短信功能插件 ecshop第三方短信平台接口