ECSHOP /api/client/includes/lib_api.php

时间：2017-01-20 19:18:16 阅读：341 评论：0 收藏：0 [点我收藏+]

ecshop /api/client/api.php、/api/client/includes/lib_api.php

ECShop存在一个盲注漏洞，问题存在于/api/client/api.php文件中，提交特制的恶意POST请求可进行SQL注入攻击，可获得敏感信息或操作数据库。

参照以下修改：

function API_UserLogin($post)
{
    /* SQL注入过滤 */
    if (get_magic_quotes_gpc()) 
    {     
        $post[‘UserId‘] = $post[‘UserId‘]     
    } 
    else 
    {     
        $post[‘UserId‘] = addslashes($post[‘UserId‘]);     
    }
    /* end */
    $post[‘username‘] = isset($post[‘UserId‘]) ? trim($post[‘UserId‘]) : ‘‘;

ECSHOP /api/client/includes/lib_api.php

原文：http://www.cnblogs.com/xiangsj/p/6323576.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)