ECSHOP商城2.73后台SQL评论注入漏洞修复

更新时间:2017-03-21 点击量:648

发现一个ecshop后台sql注入漏洞,在这里分享给大家。

文件在/admin/comment_manage.php后台sql注入漏洞。      

/admin/comment_manage.php修复方法(大概在第336行)      

$filter['sort_by']      = empty($_REQUEST['sort_by']) ? 'add_time' : trim($_REQUEST['sort_by']);
$filter['sort_order']   = empty($_REQUEST['sort_order']) ? 'DESC' : trim($_REQUEST['sort_order']);

修改为

$sort = array('comment_id','comment_rank','add_time','id_value','status'); 
$filter['sort_by'] = in_array($_REQUEST['sort_by'], $sort) ? trim($_REQUEST['sort_by']) : 'add_time'; 
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : 'ASC';

 修复完成。    


支付宝扫码打赏 微信打赏

如果文章对您有帮助,就打赏一个吧

在线客服

客户服务

热线电话:

0755-36656507 15889489919 服务时间:

周一到周六:9:00-18:00

在线QQ客服

在线微信客服

关于我们 常见问题

支付方式 加盟合作

提交需求
优惠红包 购物车0 反馈留言 返回顶部