阿里云,出现ECShop支付插件SQL注入漏洞


今天放在阿里云上的一个ecshop项目,被云盾检测出”ECShop支付插件SQL注入漏洞”,问题文件是 www\includes\modules\payment\alipay.php。之后就在网上狂找解决方法,最后发现好多解决方法是相同的,那我就抱着试试看的态度,去处理了下,之后就OK了。下面就看解决方法吧。

ecshop版本是:ECShop_V2.7.3_UTF8_release1106 

1、漏洞描述:

ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/indexs/modules/payment/alipay.php文件中,该文件是ECShop的支付宝查件。由于ECshop使用了str_replace()函数做字符串替换…啊~~TAT,这个描述太长,Leo就不打下去了,直接上一张图片吧。看下图:

33331.png

2、解决方法:

1.关闭支付宝插件
2.修改/includes/modules/payment/alipay.php文件中
$order_sn=str_replace($_GET[‘subject’],”,$_GET[‘out_trade_no’]);
$order_sn=trim($order_sn);

修改成如下代码

$order_sn=str_replace($_GET[‘subject’],”,$_GET[‘out_trade_no’]);
$order_sn=trim(addslashes($order_sn)


上一篇 下一篇