码迷,mamicode.com
首页 > Windows程序 > 详细

ECSHOP /api/client/includes/lib_api.php

时间:2017-01-20 19:18:18      阅读:710      评论:0      收藏:0      [点我收藏+]

标签:注入   sql注入   php文件   iss   ecshop   blog   lib   username   clu   

 

ecshop /api/client/api.php、/api/client/includes/lib_api.php

 

ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。

 

参照以下修改:

function API_UserLogin($post)
{
    /* SQL注入过滤 */
    if (get_magic_quotes_gpc()) 
    {     
        $post[‘UserId‘] = $post[‘UserId‘]     
    } 
    else 
    {     
        $post[‘UserId‘] = addslashes($post[‘UserId‘]);     
    }
    /* end */
    $post[username] = isset($post[UserId]) ? trim($post[UserId]) : ‘‘;

 

ECSHOP /api/client/includes/lib_api.php

标签:注入   sql注入   php文件   iss   ecshop   blog   lib   username   clu   

原文地址:http://www.cnblogs.com/xiangsj/p/6323576.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!