自从ECSHOP2.7.3起模板不再支持php代码。如何解决?

最新推荐文章于 2021-04-15 07:18:09 发布
最新推荐文章于 2021-04-15 07:18:09 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: php ecshop网店系统二次开发
本文介绍如何在ECSHOP 2.7.3中安全地禁用模板内的PHP代码执行,以防被恶意利用。通过修改cls_templage.php文件中的代码实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

自从ECSHOP2.7.3起模板不再支持php代码。如何解决?

时间:2013-10-16 15:32:24 来源: 模板城 作者:清风 点击: 1681
自从ECSHOP2.7.3起模板不再支持php代码。如何解决?其实是ECSHOP模板解析时过滤了PHP代码。整个重点主要是改includes目录下的cls_templage.php这个文件,ECshop的模板是支持php代码的,主要是为了防范挂...

自从ECSHOP2.7.3起模板不再支持php代码。如何解决?

其实是ECSHOP模板解析时过滤了PHP代码。整个重点主要是改includes目录下的cls_templage.php这个文件,

ECshop的模板是支持php代码的,主要是为了防范挂马,这个给一些不法分子创造了挂马的机会,这些不法分子挂马步骤很可能是:

1、通过ecshop的漏洞搞SQL注入,暴出管理员密码md5值,然后通过**md5得到管理密码。(注:防止暴出管理密码md5值的方法是关闭 display_errors,并且修改cls_mysql.php里的ErrorMsg函数,注释掉所有错误输出代码或把错误写入文件)

2、进入管理后台,通过模板管理->库项目管理,编辑lbi文件,添加php代码,例如<?php @eval($_POST['lx']);?>

3、到这里,就完全控制这个站了,想挂什么马就挂什么马。

可见,ECshop的模板支持php代码这点是非常危险的,因此我们应该过滤模板里的所有php代码。

方法如下:

1、修改cls_templage.php文件,添加函数:

function delete_php_code($content)
{
if(!empty($content))
{
$pattern='/<?(.|rn|s)*?>/U';

return preg_replace($pattern,'',$content);
}
}
2、第165行$out = $this->_eval($this->fetch_str(file_get_contents($filename)));修改为:

$out = $this->_eval($this->fetch_str($this->delete_php_code(file_get_contents($filename))));
3、第260行$source = $this->fetch_str(file_get_contents($filename));修改为:

$source = $this->fetch_str($this->delete_php_code(file_get_contents($filename)));
这样,模板里的php代码就被过滤掉了。


    function fetch_str($source)
    {
        if (!defined('ECS_ADMIN'))
        {
            $source = $this->smarty_prefilter_preCompile($source);
        }
        $source=preg_replace("/([^a-zA-Z0-9_]{1,1})+(copy|fputs|fopen|file_put_contents|fwrite|eval|phpinfo)+( |\()/is", "", $source);
        if(preg_match_all('~(<\?(?:\w+|=)?|\?>|language\s*=\s*[\"\']?php[\"\']?)~is', $source, $sp_match))
        {
            $sp_match[1] = array_unique($sp_match[1]);
            for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
            {
                $source = str_replace($sp_match[1][$curr_sp],'%%%SMARTYSP'.$curr_sp.'%%%',$source);
            }
             for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
            {
                 $source= str_replace('%%%SMARTYSP'.$curr_sp.'%%%', '<?php echo \''.str_replace("'", "\'", $sp_match[1][$curr_sp]).'\'; ?>'."\n", $source);
            }
         }
         return preg_replace("/{([^\}\{\n]*)}/e", "\$this->select('\\1');", $source);
    }



2.73 增加了额

        $source=preg_replace("/([^a-zA-Z0-9_]{1,1})+(copy|fputs|fopen|file_put_contents|fwrite|eval|phpinfo)+( |\()/is", "", $source);
        if(preg_match_all('~(<\?(?:\w+|=)?|\?>|language\s*=\s*[\"\']?php[\"\']?)~is', $source, $sp_match))
        {
            $sp_match[1] = array_unique($sp_match[1]);
            for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
            {
                $source = str_replace($sp_match[1][$curr_sp],'%%%SMARTYSP'.$curr_sp.'%%%',$source);
            }
             for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
            {
                 $source= str_replace('%%%SMARTYSP'.$curr_sp.'%%%', '<?php echo \''.str_replace("'", "\'", $sp_match[1][$curr_sp]).'\'; ?>'."\n", $source);
            }
         }



解决方法 利用 insert_functionname



ecshop2.7.3_京东模板
08-18
ecshop高仿京东,喜欢的可以下载下来看看
ECShop最新版V2.7.3-UTF8版本(含6套模板
04-13
虽然是最新版但还是被阿里云爆出很多漏洞,修复方案看我的博客http://www.cnblogs.com/newgold/diary/2016/04/13/5386806.html
ecshop不能在模板文件.dwt和.lbi中直接添加php代码解决方法
weixin_30752699的博客
12-11 408
ecshop不能在模板文件.dwt和.lbi中直接添加php代码了,为什么呢? 因为直接在模板中加入php函数和代码,没有经过过滤,容易造成安全隐患。程序源码安全是比较重要的。不过如果有朋友希望能在模板文件中直接加入.dwt和.lbi文件,怎么办呢?需要改动哪些文件呢?其实,需要改动一个文件,即includes/cls_template.php打开此文件,找到函数 function fetch_...
ECshop 在迁移到 PHP7 时遇到的兼容性问题
wangpeng198688的专栏
01-29 1515
OneAPM for PHP 能够深入到所有 PHP 应用内部完成应用性能管理 能够深入到所有 PHP 应用内部完成应用性能管理和监控,包括代码级别性能问题的可见性、性能瓶颈的快速识别追溯、真实用户体验监控、服务器监控和端到端的应用性能管理。想阅读更多技术文章,请访问 OneAPM 官方技术博客。
2.7.3 ecshop php7.1_ECshop 迁移到 PHP7版本时遇到的兼容性问题
weixin_39554290的博客
12-20 248
PHP7 上安装 ECShop V2.7.3时,报错!Deprecated: Methods with the same name as their class will not be constructors in a future version of PHP; ECS has a deprecated constructor in /usr/local/nginx/html/ecshop...
PHP5.3以上版本运行ecshop出现的问题及解决方案
littlepig991的专栏
02-16 1542
ecshop 问题一:商城首页报错 Strict Standards: Only variables should be passed by reference in D:\wamp\ecshop\includes\cls_template.php on line 422 解决方法: 找到提示错误的文件 cls_template.php 及行号 把 $tag_sel
ecshop模板支持php运算
weixin_30552811的博客
12-26 174
ecshop模板支持php运算在 cls_template.php 底部加入函数: /** * 处理if标签 * * @access public * @param string $tag_args * @param bool $elseif * * @return string */function _compile_math_tag($tag_args){ ...
ecshop 模版写php,让ecshop模板支持php运算
weixin_36221149的博客
03-10 157
ecshop模板支持php运算在 cls_template.php 底部加入函数:/*** 处理math中的公式.* */function get_math_para($val){$pa= $this->str_trim($val);foreach($pa AS $value){if(strrpos($value, ‘=‘)){list($a, $b) = explode(‘=‘, str...
ecshop 模版写php,ecshop模板中直接写php的方法
weixin_42405368的博客
03-10 125
ecshop模板中直接写php的方法ecshop模板堂(http://www.doczj.com/doc/6ae93e5f25c52cc58bd6bece.html)大家都知道ecshop模板是dwt文件的格式或者lbi文件的格式,而php 代码是不能写在模板里的,只能写在php程序中。那么有什么办法可以直接写在dwt和lbi文件里呢?直接打开dwt或者lbi文件,在文件的任意部位输入在中间就可以...
ecshop 模版写php,自从ECSHOP2.7.3模板不再支持php代码。如何解决
weixin_32252929的博客
03-10 163
自从ECSHOP2.7.3模板不再支持php代码。如何解决?其实是ECSHOP模板解析时过滤了PHP代码。整个重点主要是改includes目录下的cls_templage.php这个文件,ECshop模板支持php代码的,主要是为了防范挂马,这个给一些不法分子创造了挂马的机会,这些不法分子挂马步骤很可能是:1、通过ecshop的漏洞搞SQL注入,暴出管理员密码md5值,然后通过**md5得到...
ecshop2.7.3仿京东商城简约版ecshop模板,附教程
05-03
一、修改数据库连接: \data\config.php 文件;如下所示:【加黑字体是说明】 <?php // database host $db_host = "localhost"; 填写数据库地址,可以是IP; // database name $db_name = "xxxxx"; 这里是数据库名 // database username $db_user = "xxxxx"; 数据库用户名 // database password $db_pass = "xxxxx"; 数据库密码 // table prefix $prefix = "xh_"; 数据库表前缀, $timezone = "PRC"; $cookie_path = "/"; $cookie_domain = ""; $session = "1440"; define(&#39;EC_CHARSET&#39;,&#39;utf-8&#39;); 编码类型 define(&#39;ADMIN_PATH&#39;,&#39;ad-xh&#39;); 后台路径 define(&#39;AUTH_KEY&#39;, &#39;this is a key&#39;); 注明:如果数据库和空间地址一致,可以在数据库地址处填写localhost;数据库表前缀如若更换,在此处更改后,必须结尾加_ 还要在数据库文件中批量挑换对应的表前缀,可以使用TXT和dreamweaver批量替换,不会的自己百度,基本的东西!后台路径修改可以在安装成功后修改,这里修改后,比如是admin 还要把根目录下 的对应的文件夹重命名为admin 方可! 数据库链接文件修改好后,导入数据库,可以使用数据库控制面板导入,也可以使用phpmyadmind导入! 以下是使用的一些技巧,可以看看,在这里说下,ecshop是个功能很大的商城系统,如果是你想好好的使用这个建个网站,建议您认真看看这个后台,操作试试,最好不要什么都询问我们技术,不是说想给我们的售后打折,主要是因为,你以后要维护这个网站,自己熟悉,好维护的,等你要是网站有了数据了,因为你的不熟悉导致的数据丢失,你就哭都找不到北了!
最新ECshop支持php高版本 多模板全套源码
07-01
网上下载过很多资源,都不支持搞版本的php所有自己修改后共享出来 给大家提供方便,除了高版本的兼容代码 其他没有修改过
ECShop商城系统ecshopv2.7.3支持PHP5.3 5.4 5.5等版本
03-09
各位开发们这个是我测试并修改过的ecshop_2.7.3的商城系统版本,里面的函数支持PHP版本5.3以上,可以放心使用。
ECSHOP仿京东模板for2.7.3
08-05
ECSHOP仿京东模板for2.7.3 ,此模板是utf-8版本
ecshop 2.7.3兼容php 5.5
07-16
此版本在ecshop 2.7.3最新版本下修正, 主要是为了兼容php 5.4, php 5.5, php 5.6而努力, 相信也是兼容更新的php版本, 实现一劳永逸的效果.
ecshop如何直接在dwt,lbi模板文件中执行php代码
weixin_34342207的博客
11-18 378
272版本之前的可以直接写php代码的,272273版本的都不行,网上搜了一下,关于这方面的也不多,而且问题是写的解决方法也不是很准确,下面是我的解决方法,我的echsop是272版本的找到文件includes/cls_template.php,在287行(我的是在287行)$source = preg_replace("/<\?[^><]+\?&g...
ecshop 模板支持php,ecshop模板文件不支持php语句解决办法
weixin_30044149的博客
04-15 154
很多cms程序出于安全的考虑都会禁用php语句写在模板中,这也不仅仅是安全因素,也是为了程序加载速度原因,ECshop默认的模板文件同样也不支持php语句。和大家说一下解决办法。打开includes目录下的cls_template.php文件,查找约293行function fetch_str($source)函数方法,找到如下代码:$source=str_replace($sp_match[...
ECSHOP模板js调用PHP数组
shenyang618619的专栏
10-24 1038
最近修改PHP东西(ecshop),遇到一个问题,诚恳求助各位高手: 1.php页面里利用smarty模板赋值,部分代码如下:       while ($row = $db->FetchRow($res))     {      if($cur==null)      $cur=$row['template_id'];      $modelrow[$row['template_
ecshop 模版中直接写php源码 分类id如何获得
论文数据分析辅导,;论文人工智能辅导 huazhongxiaosx
07-04 799
ecshop 模版中直接写php源码 分类id如何获得 $GLOBALS['db']->getOne("select attribute_line from ".$GLOBALS['ecs']->table('category')." where cat_id=".$this->_var['category']) 分类id $this->_va
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值