ECshop鸿宇小京东 - 修复用户中心点击我的订单会跳转到首页问题
鸿宇教程库 • Shadow 发表了文章 • 0 个评论 • 39 次浏览 • 1 天前
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
打开 根目录/themes/68ecshopcom_360buy/user_transaction.dwt 约1533行
<li class="active"> <a href="#">{$lang.label_order}</a> </li>
改为
<li class="active"> <a href="user.php?act=order_list">{$lang.label_order}</a> </li> 查看全部
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
打开 根目录/themes/68ecshopcom_360buy/user_transaction.dwt 约1533行
<li class="active"> <a href="#">{$lang.label_order}</a> </li>
改为
<li class="active"> <a href="user.php?act=order_list">{$lang.label_order}</a> </li> 查看全部
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
打开 根目录/themes/68ecshopcom_360buy/user_transaction.dwt 约1533行
<li class="active"> <a href="#">{$lang.label_order}</a> </li>
改为
<li class="active"> <a href="user.php?act=order_list">{$lang.label_order}</a> </li>
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
打开 根目录/themes/68ecshopcom_360buy/user_transaction.dwt 约1533行
<li class="active"> <a href="#">{$lang.label_order}</a> </li>
改为
<li class="active"> <a href="user.php?act=order_list">{$lang.label_order}</a> </li>
ECshop鸿宇小京东 - 修复用户中心待发货订单不显示分页按钮问题
鸿宇教程库 • Shadow 发表了文章 • 0 个评论 • 34 次浏览 • 1 天前
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
打开文件 根目录/user.php 约1984行
$record_count = $order_count['await_pay'];
改为
$record_count = $order_count['await_ship']; 查看全部
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
打开文件 根目录/user.php 约1984行
$record_count = $order_count['await_pay'];
改为
$record_count = $order_count['await_ship']; 查看全部
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
打开文件 根目录/user.php 约1984行
$record_count = $order_count['await_pay'];
改为
$record_count = $order_count['await_ship'];
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
打开文件 根目录/user.php 约1984行
$record_count = $order_count['await_pay'];
改为
$record_count = $order_count['await_ship'];
ECshop鸿宇小京东 - 阿里云盾提示ECshop高危漏洞修复(2017-08-30)
鸿宇教程库 • Shadow 发表了文章 • 0 个评论 • 632 次浏览 • 2017-08-30 17:36
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:共修复7个高危漏洞,直接下载本文章附件或者前往QQ群内文件进行下载(阿里云盾提示ECshop高危漏洞修复文件-2017-08-30.zip)1.ecshop SQL注入漏洞 /admin/shophelp.php
2.ecshop SQL注入漏洞 /admin/affiliate_ck.php
3.ecshop后台getshell /admin/integrate.php
4.ecshop SQL注入漏洞 /mobile/admin/shophelp.php
5.ecshop SQL注入漏洞 /mobile/admin/affiliate_ck.php
6.ecshop SQL注入漏洞导致代码执行 /mobile/includes/lib_insert.php
7.ecshop SQL注入漏洞导致代码执行 /includes/lib_insert.php 查看全部
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:共修复7个高危漏洞,直接下载本文章附件或者前往QQ群内文件进行下载(阿里云盾提示ECshop高危漏洞修复文件-2017-08-30.zip)1.ecshop SQL注入漏洞 /admin/shophelp.php
2.ecshop SQL注入漏洞 /admin/affiliate_ck.php
3.ecshop后台getshell /admin/integrate.php
4.ecshop SQL注入漏洞 /mobile/admin/shophelp.php
5.ecshop SQL注入漏洞 /mobile/admin/affiliate_ck.php
6.ecshop SQL注入漏洞导致代码执行 /mobile/includes/lib_insert.php
7.ecshop SQL注入漏洞导致代码执行 /includes/lib_insert.php 查看全部
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:共修复7个高危漏洞,直接下载本文章附件或者前往QQ群内文件进行下载(阿里云盾提示ECshop高危漏洞修复文件-2017-08-30.zip)
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:共修复7个高危漏洞,直接下载本文章附件或者前往QQ群内文件进行下载(阿里云盾提示ECshop高危漏洞修复文件-2017-08-30.zip)
1.ecshop SQL注入漏洞 /admin/shophelp.php
2.ecshop SQL注入漏洞 /admin/affiliate_ck.php
3.ecshop后台getshell /admin/integrate.php
4.ecshop SQL注入漏洞 /mobile/admin/shophelp.php
5.ecshop SQL注入漏洞 /mobile/admin/affiliate_ck.php
6.ecshop SQL注入漏洞导致代码执行 /mobile/includes/lib_insert.php
7.ecshop SQL注入漏洞导致代码执行 /includes/lib_insert.php
ECshop小京东 - 修改会员注册时用户默认是手机号或邮箱生成规则隐藏手机号/邮箱中间部分
鸿宇教程库 • Shadow 发表了文章 • 0 个评论 • 465 次浏览 • 2017-08-23 16:58
官方出品:鸿宇科技
官方论坛:hongyuvip.com
官方QQ群:90664526
解决方案:下载附件,直接覆盖根目录
官方论坛:hongyuvip.com
官方QQ群:90664526
解决方案:下载附件,直接覆盖根目录
官方出品:鸿宇科技
官方论坛:hongyuvip.com
官方QQ群:90664526
解决方案:下载附件,直接覆盖根目录
官方论坛:hongyuvip.com
官方QQ群:90664526
解决方案:下载附件,直接覆盖根目录
ECshop小京东 - 更改入驻商家密码
鸿宇教程库 • Shadow 发表了文章 • 0 个评论 • 247 次浏览 • 2017-08-22 15:12
官方出品:鸿宇科技
官方论坛:hongyuvip.com
官方QQ群:90664526
执行SQL语句:(PC后台管理 => 数据库管理 => SQL查询 => 提交语句即可)[code]UPDATE ecs_supplier_admin_user SET password='223be6aa7362e9a04053ac90f0e4be03' , ec_salt='4514' WHERE user_name='商家用户名'/code 查看全部
官方论坛:hongyuvip.com
官方QQ群:90664526
执行SQL语句:(PC后台管理 => 数据库管理 => SQL查询 => 提交语句即可)[code]UPDATE ecs_supplier_admin_user SET password='223be6aa7362e9a04053ac90f0e4be03' , ec_salt='4514' WHERE user_name='商家用户名'/code 查看全部
官方出品:鸿宇科技
官方论坛:hongyuvip.com
官方QQ群:90664526
执行SQL语句:(PC后台管理 => 数据库管理 => SQL查询 => 提交语句即可)[code]UPDATE ecs_supplier_admin_user SET password='223be6aa7362e9a04053ac90f0e4be03' , ec_salt='4514' WHERE user_name='商家用户名'/code
官方论坛:hongyuvip.com
官方QQ群:90664526
执行SQL语句:(PC后台管理 => 数据库管理 => SQL查询 => 提交语句即可)[code]UPDATE ecs_supplier_admin_user SET password='223be6aa7362e9a04053ac90f0e4be03' , ec_salt='4514' WHERE user_name='商家用户名'/code
Laravel - Laravel 5.4 migrate时报错: 1071 Specified key was too long
Laravel • Shadow 发表了文章 • 0 个评论 • 245 次浏览 • 2017-08-16 13:26
官方出品:鸿宇科技
官方论坛:hongyuvip.com
官方QQ群:90664526
问题描述:Laravel 5.4默认使用utf8mb4字符编码,而不是之前的utf8编码。因此运行php artisan migrate 会出现如下错误:[Illuminate\Database\QueryException]
SQLSTATE[42000]: Syntax error or access violation: 1071 Specified key was too long; max key length is 1000 bytes (SQL: alter table `users` add unique `users_email_unique`(`email
`))
[PDOException]
SQLSTATE[42000]: Syntax error or access violation: 1071 Specified key was too long; max key length is 1000 bytes
问题根源
MySql支持的utf8编码最大字符长度为3字节,如果遇到4字节的宽字符就会出现插入异常。三个字节UTF-8最大能编码的Unicode字符是0xffff,即Unicode中的基本多文种平面(BMP)。因而包括Emoji表情(Emoji是一种特殊的Unicode编码)在内的非基本多文种平面的Unicode字符都无法使用MySql的utf8字符集存储。
这也应该就是Laravel 5.4改用4字节长度的utf8mb4字符编码的原因之一。不过要注意的是,只有MySql 5.5.3版本以后才开始支持utf8mb4字符编码(查看版本:selection version();)。如果MySql版本过低,需要进行版本更新。
注:如果是从Laravel 5.3升级到Laravel 5.4,不需要对字符编码做切换。
解决方案
1.升级MySql版本到5.5.3以上。
2.手动配置迁移命令migrate生成的默认字符串长度,在/app/Providers/AppServiceProvider.php中调用Schema::defaultStringLength方法来实现配置public function boot()
{
\Illuminate\Support\Facades\Schema::defaultStringLength(191);
}
3.打开 config/database.php 约50-51行
'charset' => 'utf8mb4',
'collation' => 'utf8mb4_unicode_ci',
修改为
'charset' => 'utf8',
'collation' => 'utf8_unicode_ci', 查看全部
官方论坛:hongyuvip.com
官方QQ群:90664526
问题描述:Laravel 5.4默认使用utf8mb4字符编码,而不是之前的utf8编码。因此运行php artisan migrate 会出现如下错误:[Illuminate\Database\QueryException]
SQLSTATE[42000]: Syntax error or access violation: 1071 Specified key was too long; max key length is 1000 bytes (SQL: alter table `users` add unique `users_email_unique`(`email
`))
[PDOException]
SQLSTATE[42000]: Syntax error or access violation: 1071 Specified key was too long; max key length is 1000 bytes
问题根源
MySql支持的utf8编码最大字符长度为3字节,如果遇到4字节的宽字符就会出现插入异常。三个字节UTF-8最大能编码的Unicode字符是0xffff,即Unicode中的基本多文种平面(BMP)。因而包括Emoji表情(Emoji是一种特殊的Unicode编码)在内的非基本多文种平面的Unicode字符都无法使用MySql的utf8字符集存储。
这也应该就是Laravel 5.4改用4字节长度的utf8mb4字符编码的原因之一。不过要注意的是,只有MySql 5.5.3版本以后才开始支持utf8mb4字符编码(查看版本:selection version();)。如果MySql版本过低,需要进行版本更新。
注:如果是从Laravel 5.3升级到Laravel 5.4,不需要对字符编码做切换。
解决方案
1.升级MySql版本到5.5.3以上。
2.手动配置迁移命令migrate生成的默认字符串长度,在/app/Providers/AppServiceProvider.php中调用Schema::defaultStringLength方法来实现配置public function boot()
{
\Illuminate\Support\Facades\Schema::defaultStringLength(191);
}
3.打开 config/database.php 约50-51行
'charset' => 'utf8mb4',
'collation' => 'utf8mb4_unicode_ci',
修改为
'charset' => 'utf8',
'collation' => 'utf8_unicode_ci', 查看全部
官方出品:鸿宇科技
官方论坛:hongyuvip.com
官方QQ群:90664526
问题描述:Laravel 5.4默认使用utf8mb4字符编码,而不是之前的utf8编码。因此运行php artisan migrate 会出现如下错误:
问题根源
MySql支持的utf8编码最大字符长度为3字节,如果遇到4字节的宽字符就会出现插入异常。三个字节UTF-8最大能编码的Unicode字符是0xffff,即Unicode中的基本多文种平面(BMP)。因而包括Emoji表情(Emoji是一种特殊的Unicode编码)在内的非基本多文种平面的Unicode字符都无法使用MySql的utf8字符集存储。
这也应该就是Laravel 5.4改用4字节长度的utf8mb4字符编码的原因之一。不过要注意的是,只有MySql 5.5.3版本以后才开始支持utf8mb4字符编码(查看版本:selection version();)。如果MySql版本过低,需要进行版本更新。
注:如果是从Laravel 5.3升级到Laravel 5.4,不需要对字符编码做切换。
解决方案
1.升级MySql版本到5.5.3以上。
2.手动配置迁移命令migrate生成的默认字符串长度,在/app/Providers/AppServiceProvider.php中调用Schema::defaultStringLength方法来实现配置
3.打开 config/database.php 约50-51行
官方论坛:hongyuvip.com
官方QQ群:90664526
问题描述:Laravel 5.4默认使用utf8mb4字符编码,而不是之前的utf8编码。因此运行php artisan migrate 会出现如下错误:
[Illuminate\Database\QueryException]
SQLSTATE[42000]: Syntax error or access violation: 1071 Specified key was too long; max key length is 1000 bytes (SQL: alter table `users` add unique `users_email_unique`(`email
`))
[PDOException]
SQLSTATE[42000]: Syntax error or access violation: 1071 Specified key was too long; max key length is 1000 bytes
问题根源
MySql支持的utf8编码最大字符长度为3字节,如果遇到4字节的宽字符就会出现插入异常。三个字节UTF-8最大能编码的Unicode字符是0xffff,即Unicode中的基本多文种平面(BMP)。因而包括Emoji表情(Emoji是一种特殊的Unicode编码)在内的非基本多文种平面的Unicode字符都无法使用MySql的utf8字符集存储。
这也应该就是Laravel 5.4改用4字节长度的utf8mb4字符编码的原因之一。不过要注意的是,只有MySql 5.5.3版本以后才开始支持utf8mb4字符编码(查看版本:selection version();)。如果MySql版本过低,需要进行版本更新。
注:如果是从Laravel 5.3升级到Laravel 5.4,不需要对字符编码做切换。
解决方案
1.升级MySql版本到5.5.3以上。
2.手动配置迁移命令migrate生成的默认字符串长度,在/app/Providers/AppServiceProvider.php中调用Schema::defaultStringLength方法来实现配置
public function boot()
{
\Illuminate\Support\Facades\Schema::defaultStringLength(191);
}
3.打开 config/database.php 约50-51行
'charset' => 'utf8mb4',
'collation' => 'utf8mb4_unicode_ci',
修改为
'charset' => 'utf8',
'collation' => 'utf8_unicode_ci',
ECshop鸿宇小京东 - PC端后台管理左侧菜单鸿宇管理中心修改
鸿宇教程库 • Shadow 发表了文章 • 0 个评论 • 470 次浏览 • 2017-08-11 15:04
官方出品:鸿宇科技
官方论坛:hongyuvip.com
官方QQ群:90664526
打开文件 languages/zh_cn/admin/common.php 155行
$_LANG['14_sms'] = '鸿宇管理中心';
官方论坛:hongyuvip.com
官方QQ群:90664526
打开文件 languages/zh_cn/admin/common.php 155行
$_LANG['14_sms'] = '鸿宇管理中心';
官方出品:鸿宇科技
官方论坛:hongyuvip.com
官方QQ群:90664526
打开文件 languages/zh_cn/admin/common.php 155行
官方论坛:hongyuvip.com
官方QQ群:90664526
打开文件 languages/zh_cn/admin/common.php 155行
$_LANG['14_sms'] = '鸿宇管理中心'; ECshop鸿宇小京东 - 阿里云盾提示ECshop高危漏洞修复(2017-08-11)
鸿宇教程库 • Shadow 发表了文章 • 0 个评论 • 720 次浏览 • 2017-08-11 12:03
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:直接下载本文章附件或者前往QQ群内文件进行下载(阿里云盾提示ECshop高危漏洞修复文件-2017-08-11.zip)
1.ecshop后台SQL注入漏洞 /admin/comment_manage.php 336-337行 $filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim($_REQUEST['sort_by']);
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim($_REQUEST['sort_order']);修改为 $filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim(htmlspecialchars($_REQUEST['sort_by']));
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim(htmlspecialchars($_REQUEST['sort_order']));
2.ecshop代码注入漏洞 /admin/edit_languages.php 120行$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';修改为$dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';
3.ecshop后台getshell /admin/integrate.php 109行$code = empty($_GET['code']) ? '' : trim($_GET['code']);修改为$code = empty($_GET['code']) ? '' : trim(addslashes($_GET['code']));
4.ecshop SQL注入漏洞 /admin/affiliate_ck.php
a./admin/affiliate_ck.php 282行
b./mobile/admin/affiliate_ck.php 307行$sqladd = ' AND a.user_id=' . $_GET['auid'];改为$sqladd = ' AND a.user_id=' . intval($_GET['auid']);
5.ecshop注入漏洞 /includes/modules/payment/alipay.php
a./includes/modules/payment/alipay.php 183行
b./mobile/includes/modules/payment/alipay.php 216行
c./app/includes/modules/payment/alipay.php 173行$order_sn = trim($order_sn);改为$order_sn = trim(addslashes($order_sn));
6.ecshop SQL注入漏洞 /admin/shopinfo.php
a./admin/shopinfo.php
b./mobile/admin/shopinfo.php
c.53、71、105、123行,4个地方修复方式都一样admin_priv('shopinfo_manage');改为admin_priv('shopinfo_manage');
$_REQUEST['id'] = intval($_REQUEST['id']);
7.ecshop注入漏洞 /api/client/includes/lib_api.php
a./api/client/includes/lib_api.php 245行
b./mobile/api/client/includes/lib_api.php 246行function API_UserLogin($post)
{
if (get_magic_quotes_gpc()) {
$post['UserId'] = $post['UserId'];
}else{
$post['UserId'] = addslashes($post['UserId']);
}
$post['username'] = isset($post['UserId']) ? trim($post['UserId']) : '';
$post['password'] = isset($post['Password']) ? strtolower(trim($post['Password'])) : '';
/[i] 检查密码是否正确 [/i]/
$sql = "SELECT user_id, user_name, password, action_list, last_login".
" FROM " . $GLOBALS['ecs']->table('admin_user') .
" WHERE user_name = '" . htmlspecialchars($post['username']). "'";
$row = $GLOBALS['db']->getRow($sql);if (get_magic_quotes_gpc()) {
$post['UserId'] = $post['UserId'];
}else{
$post['UserId'] = addslashes($post['UserId']);
}" WHERE user_name = '" . htmlspecialchars($post['username']). "'";
8.ecshop SQL注入漏洞 /admin/shophelp.php
a./admin/shophelp.php
b./mobile/admin/shophelp.php
c.81、105、133、155行,4个地方修复方式都一样admin_priv('shopinfo_manage');改为admin_priv('shopinfo_manage');
$_REQUEST['id'] = intval($_REQUEST['id']);
9.ecshop注入漏洞 /category.php 65行$brand = isset($_REQUEST['brand']) && $_REQUEST['brand'] > 0 ? $_REQUEST['brand'] : 0;改为$brand = isset($_REQUEST['brand']) && intval($_REQUEST['brand']) > 0 ? intval($_REQUEST['brand']) : 0;
10.ecshop SQL注入漏洞导致代码执行$arr['id'] = intval($arr['id']);
$arr['num'] = intval($arr['num']);
$arr['type'] = addslashes($arr['type']); 查看全部
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:直接下载本文章附件或者前往QQ群内文件进行下载(阿里云盾提示ECshop高危漏洞修复文件-2017-08-11.zip)
1.ecshop后台SQL注入漏洞 /admin/comment_manage.php 336-337行 $filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim($_REQUEST['sort_by']);
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim($_REQUEST['sort_order']);修改为 $filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim(htmlspecialchars($_REQUEST['sort_by']));
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim(htmlspecialchars($_REQUEST['sort_order']));
2.ecshop代码注入漏洞 /admin/edit_languages.php 120行$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';修改为$dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';
3.ecshop后台getshell /admin/integrate.php 109行$code = empty($_GET['code']) ? '' : trim($_GET['code']);修改为$code = empty($_GET['code']) ? '' : trim(addslashes($_GET['code']));
4.ecshop SQL注入漏洞 /admin/affiliate_ck.php
a./admin/affiliate_ck.php 282行
b./mobile/admin/affiliate_ck.php 307行$sqladd = ' AND a.user_id=' . $_GET['auid'];改为$sqladd = ' AND a.user_id=' . intval($_GET['auid']);
5.ecshop注入漏洞 /includes/modules/payment/alipay.php
a./includes/modules/payment/alipay.php 183行
b./mobile/includes/modules/payment/alipay.php 216行
c./app/includes/modules/payment/alipay.php 173行$order_sn = trim($order_sn);改为$order_sn = trim(addslashes($order_sn));
6.ecshop SQL注入漏洞 /admin/shopinfo.php
a./admin/shopinfo.php
b./mobile/admin/shopinfo.php
c.53、71、105、123行,4个地方修复方式都一样admin_priv('shopinfo_manage');改为admin_priv('shopinfo_manage');
$_REQUEST['id'] = intval($_REQUEST['id']);
7.ecshop注入漏洞 /api/client/includes/lib_api.php
a./api/client/includes/lib_api.php 245行
b./mobile/api/client/includes/lib_api.php 246行function API_UserLogin($post)
{
if (get_magic_quotes_gpc()) {
$post['UserId'] = $post['UserId'];
}else{
$post['UserId'] = addslashes($post['UserId']);
}
$post['username'] = isset($post['UserId']) ? trim($post['UserId']) : '';
$post['password'] = isset($post['Password']) ? strtolower(trim($post['Password'])) : '';
/[i] 检查密码是否正确 [/i]/
$sql = "SELECT user_id, user_name, password, action_list, last_login".
" FROM " . $GLOBALS['ecs']->table('admin_user') .
" WHERE user_name = '" . htmlspecialchars($post['username']). "'";
$row = $GLOBALS['db']->getRow($sql);if (get_magic_quotes_gpc()) {
$post['UserId'] = $post['UserId'];
}else{
$post['UserId'] = addslashes($post['UserId']);
}" WHERE user_name = '" . htmlspecialchars($post['username']). "'";
8.ecshop SQL注入漏洞 /admin/shophelp.php
a./admin/shophelp.php
b./mobile/admin/shophelp.php
c.81、105、133、155行,4个地方修复方式都一样admin_priv('shopinfo_manage');改为admin_priv('shopinfo_manage');
$_REQUEST['id'] = intval($_REQUEST['id']);
9.ecshop注入漏洞 /category.php 65行$brand = isset($_REQUEST['brand']) && $_REQUEST['brand'] > 0 ? $_REQUEST['brand'] : 0;改为$brand = isset($_REQUEST['brand']) && intval($_REQUEST['brand']) > 0 ? intval($_REQUEST['brand']) : 0;
10.ecshop SQL注入漏洞导致代码执行$arr['id'] = intval($arr['id']);
$arr['num'] = intval($arr['num']);
$arr['type'] = addslashes($arr['type']); 查看全部
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:直接下载本文章附件或者前往QQ群内文件进行下载(阿里云盾提示ECshop高危漏洞修复文件-2017-08-11.zip)
1.ecshop后台SQL注入漏洞 /admin/comment_manage.php 336-337行
2.ecshop代码注入漏洞 /admin/edit_languages.php 120行
3.ecshop后台getshell /admin/integrate.php 109行
4.ecshop SQL注入漏洞 /admin/affiliate_ck.php
a./admin/affiliate_ck.php 282行
b./mobile/admin/affiliate_ck.php 307行
5.ecshop注入漏洞 /includes/modules/payment/alipay.php
a./includes/modules/payment/alipay.php 183行
b./mobile/includes/modules/payment/alipay.php 216行
c./app/includes/modules/payment/alipay.php 173行
6.ecshop SQL注入漏洞 /admin/shopinfo.php
a./admin/shopinfo.php
b./mobile/admin/shopinfo.php
c.53、71、105、123行,4个地方修复方式都一样
7.ecshop注入漏洞 /api/client/includes/lib_api.php
a./api/client/includes/lib_api.php 245行
b./mobile/api/client/includes/lib_api.php 246行
8.ecshop SQL注入漏洞 /admin/shophelp.php
a./admin/shophelp.php
b./mobile/admin/shophelp.php
c.81、105、133、155行,4个地方修复方式都一样
9.ecshop注入漏洞 /category.php 65行
10.ecshop SQL注入漏洞导致代码执行
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:直接下载本文章附件或者前往QQ群内文件进行下载(阿里云盾提示ECshop高危漏洞修复文件-2017-08-11.zip)
1.ecshop后台SQL注入漏洞 /admin/comment_manage.php 336-337行
$filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim($_REQUEST['sort_by']);修改为
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim($_REQUEST['sort_order']);
$filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim(htmlspecialchars($_REQUEST['sort_by']));
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim(htmlspecialchars($_REQUEST['sort_order']));
2.ecshop代码注入漏洞 /admin/edit_languages.php 120行
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";';修改为
$dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';
3.ecshop后台getshell /admin/integrate.php 109行
$code = empty($_GET['code']) ? '' : trim($_GET['code']);修改为
$code = empty($_GET['code']) ? '' : trim(addslashes($_GET['code']));
4.ecshop SQL注入漏洞 /admin/affiliate_ck.php
a./admin/affiliate_ck.php 282行
b./mobile/admin/affiliate_ck.php 307行
$sqladd = ' AND a.user_id=' . $_GET['auid'];改为$sqladd = ' AND a.user_id=' . intval($_GET['auid']);5.ecshop注入漏洞 /includes/modules/payment/alipay.php
a./includes/modules/payment/alipay.php 183行
b./mobile/includes/modules/payment/alipay.php 216行
c./app/includes/modules/payment/alipay.php 173行
$order_sn = trim($order_sn);改为
$order_sn = trim(addslashes($order_sn));
6.ecshop SQL注入漏洞 /admin/shopinfo.php
a./admin/shopinfo.php
b./mobile/admin/shopinfo.php
c.53、71、105、123行,4个地方修复方式都一样
admin_priv('shopinfo_manage');改为admin_priv('shopinfo_manage');
$_REQUEST['id'] = intval($_REQUEST['id']);7.ecshop注入漏洞 /api/client/includes/lib_api.php
a./api/client/includes/lib_api.php 245行
b./mobile/api/client/includes/lib_api.php 246行
function API_UserLogin($post)
{
if (get_magic_quotes_gpc()) {
$post['UserId'] = $post['UserId'];
}else{
$post['UserId'] = addslashes($post['UserId']);
}
$post['username'] = isset($post['UserId']) ? trim($post['UserId']) : '';
$post['password'] = isset($post['Password']) ? strtolower(trim($post['Password'])) : '';
/[i] 检查密码是否正确 [/i]/
$sql = "SELECT user_id, user_name, password, action_list, last_login".
" FROM " . $GLOBALS['ecs']->table('admin_user') .
" WHERE user_name = '" . htmlspecialchars($post['username']). "'";
$row = $GLOBALS['db']->getRow($sql);
if (get_magic_quotes_gpc()) {
$post['UserId'] = $post['UserId'];
}else{
$post['UserId'] = addslashes($post['UserId']);
}" WHERE user_name = '" . htmlspecialchars($post['username']). "'";8.ecshop SQL注入漏洞 /admin/shophelp.php
a./admin/shophelp.php
b./mobile/admin/shophelp.php
c.81、105、133、155行,4个地方修复方式都一样
admin_priv('shopinfo_manage');改为admin_priv('shopinfo_manage');
$_REQUEST['id'] = intval($_REQUEST['id']);9.ecshop注入漏洞 /category.php 65行
$brand = isset($_REQUEST['brand']) && $_REQUEST['brand'] > 0 ? $_REQUEST['brand'] : 0;改为
$brand = isset($_REQUEST['brand']) && intval($_REQUEST['brand']) > 0 ? intval($_REQUEST['brand']) : 0;
10.ecshop SQL注入漏洞导致代码执行
$arr['id'] = intval($arr['id']);
$arr['num'] = intval($arr['num']);
$arr['type'] = addslashes($arr['type']);
ECS服务器 - 宝塔控制面板安装和使用教程 (鸿宇推荐Linux服务器控制面板)
鸿宇教程库 • Shadow 发表了文章 • 0 个评论 • 527 次浏览 • 2017-08-07 16:59
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
安装提示:以下主机商必看(开端口教程,不开不能用)阿里云:https://www.bt.cn/bbs/thread-2897-1-1.html
腾讯云:https://www.bt.cn/bbs/thread-1229-1-1.html
华为云:https://www.bt.cn/bbs/thread-3923-1-1.html
1.安装命令:yum install -y wget && wget -O install.sh http://download.bt.cn/install/install.sh && sh install.sh
2.更新命令:wget -O update.sh http://download.bt.cn/install/update.sh && sh update.sh 5.0.1
3.安装要求:内存:128M以上,推荐512M以上(纯面板约占系统10M内存)
硬盘:100M以上可用硬盘空间(纯面板约占20M磁盘空间)
系统:暂时只对 CentOS 6.x / 7.x 提供支持(暂不支持 Ubuntu、Debian);
确保是干净的操作系统,没有安装过其它环境带的Apache/Nginx/php/MySQL
4.面板管理常用命令:宝塔 4.x 服务管理
#停止
service bt stop
#启动
service bt start
#重启
service bt restart
#卸载4.x面板
service bt stop && chkconfig --del bt && rm -f /etc/init.d/bt && rm -rf /www/server/panel
#查看当前面板端口
cat /www/server/panel/data/port.pl
#命令行修改面板端口,如要改成8881(centos 6)
echo '8881' > /www/server/panel/data/port.pl && service bt restart
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 8881 -j ACCEPT
service iptables save
service iptables restart
#命令行修改面板端口,如要改成8881(centos 7)
echo '8881' > /www/server/panel/data/port.pl && service bt restart
firewall-cmd --permanent --zone=public --add-port=8881/tcp
firewall-cmd --reload
#强制修改MySQL管理(root)密码,如要改成123456
cd /www/server/panel && python tools.pyc root 123456
#命令行修改面板密码,如要改成123456
cd /www/server/panel && python tools.pyc panel 123456
#站点配置文件位置
/www/server/panel/vhost
#删除面板域名绑定
rm -f /www/server/panel/data/domain.conf
#清理登陆限制
rm -f /www/server/panel/data/*.login
#第三方应用服务名称
nginx: nginx
apache: httpd
pure-ftpd: pure-ftpd
php5.2: php-fpm-52
php5.3: php-fpm-53
php5.4: php-fpm-54
以此类推
#php.ini位置,如php5.4的
/www/server/php/54/etc/php.ini
#my.cnf位置
/etc/my.cnf
5.面板包含软件:Nginx-Tengine-2.2.0
Nginx1.8 - 1.10
Apache2.4.20
PHP5.2 - 7.1(安装时可选,支持多版本共存,除php7.0,php7.1都已包含zendloader)
MySQL5.5 - 5.7(安装时可选)
Pure-Ftpd
phpMyadmin
OpenResty
WEB在线面板
面板特色功能:
一键配置服务器环境(LANP/LNMP)
一键安全重启
一键创建管理网站、ftp、数据库
一键配置(定期备份、数据导入、伪静态、301、SSL、子目录、反向代理、切换PHP版本)
一键安装常用PHP扩展(fileinfo、intl、opcache、imap、memcache、apc、redis、ioncube、imagick)
数据库一键导入导出
系统监控(CPU、内存、磁盘IO、网络IO)
防火墙端口放行
SSH开启与关闭及SSH端口更改
禁PING开启或关闭
方便高效的文件管理器(上传、下载、压缩、解压、查看、编辑等等)
计划任务(定期备份、日志切割、shell脚本)
软件管理(一键安装、卸载、版本切换)
6.宝塔控制面板官网 https://www.bt.cn/ 查看全部
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
安装提示:以下主机商必看(开端口教程,不开不能用)阿里云:https://www.bt.cn/bbs/thread-2897-1-1.html
腾讯云:https://www.bt.cn/bbs/thread-1229-1-1.html
华为云:https://www.bt.cn/bbs/thread-3923-1-1.html
1.安装命令:yum install -y wget && wget -O install.sh http://download.bt.cn/install/install.sh && sh install.sh
2.更新命令:wget -O update.sh http://download.bt.cn/install/update.sh && sh update.sh 5.0.1
3.安装要求:内存:128M以上,推荐512M以上(纯面板约占系统10M内存)
硬盘:100M以上可用硬盘空间(纯面板约占20M磁盘空间)
系统:暂时只对 CentOS 6.x / 7.x 提供支持(暂不支持 Ubuntu、Debian);
确保是干净的操作系统,没有安装过其它环境带的Apache/Nginx/php/MySQL
4.面板管理常用命令:宝塔 4.x 服务管理
#停止
service bt stop
#启动
service bt start
#重启
service bt restart
#卸载4.x面板
service bt stop && chkconfig --del bt && rm -f /etc/init.d/bt && rm -rf /www/server/panel
#查看当前面板端口
cat /www/server/panel/data/port.pl
#命令行修改面板端口,如要改成8881(centos 6)
echo '8881' > /www/server/panel/data/port.pl && service bt restart
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 8881 -j ACCEPT
service iptables save
service iptables restart
#命令行修改面板端口,如要改成8881(centos 7)
echo '8881' > /www/server/panel/data/port.pl && service bt restart
firewall-cmd --permanent --zone=public --add-port=8881/tcp
firewall-cmd --reload
#强制修改MySQL管理(root)密码,如要改成123456
cd /www/server/panel && python tools.pyc root 123456
#命令行修改面板密码,如要改成123456
cd /www/server/panel && python tools.pyc panel 123456
#站点配置文件位置
/www/server/panel/vhost
#删除面板域名绑定
rm -f /www/server/panel/data/domain.conf
#清理登陆限制
rm -f /www/server/panel/data/*.login
#第三方应用服务名称
nginx: nginx
apache: httpd
pure-ftpd: pure-ftpd
php5.2: php-fpm-52
php5.3: php-fpm-53
php5.4: php-fpm-54
以此类推
#php.ini位置,如php5.4的
/www/server/php/54/etc/php.ini
#my.cnf位置
/etc/my.cnf
5.面板包含软件:Nginx-Tengine-2.2.0
Nginx1.8 - 1.10
Apache2.4.20
PHP5.2 - 7.1(安装时可选,支持多版本共存,除php7.0,php7.1都已包含zendloader)
MySQL5.5 - 5.7(安装时可选)
Pure-Ftpd
phpMyadmin
OpenResty
WEB在线面板
面板特色功能:
一键配置服务器环境(LANP/LNMP)
一键安全重启
一键创建管理网站、ftp、数据库
一键配置(定期备份、数据导入、伪静态、301、SSL、子目录、反向代理、切换PHP版本)
一键安装常用PHP扩展(fileinfo、intl、opcache、imap、memcache、apc、redis、ioncube、imagick)
数据库一键导入导出
系统监控(CPU、内存、磁盘IO、网络IO)
防火墙端口放行
SSH开启与关闭及SSH端口更改
禁PING开启或关闭
方便高效的文件管理器(上传、下载、压缩、解压、查看、编辑等等)
计划任务(定期备份、日志切割、shell脚本)
软件管理(一键安装、卸载、版本切换)
6.宝塔控制面板官网 https://www.bt.cn/ 查看全部
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
安装提示:以下主机商必看(开端口教程,不开不能用)
1.安装命令:
2.更新命令:
3.安装要求:
4.面板管理常用命令:
5.面板包含软件:
6.宝塔控制面板官网 https://www.bt.cn/
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
安装提示:以下主机商必看(开端口教程,不开不能用)
阿里云:https://www.bt.cn/bbs/thread-2897-1-1.html
腾讯云:https://www.bt.cn/bbs/thread-1229-1-1.html
华为云:https://www.bt.cn/bbs/thread-3923-1-1.html
1.安装命令:
yum install -y wget && wget -O install.sh http://download.bt.cn/install/install.sh && sh install.sh
2.更新命令:
wget -O update.sh http://download.bt.cn/install/update.sh && sh update.sh 5.0.1
3.安装要求:
内存:128M以上,推荐512M以上(纯面板约占系统10M内存)
硬盘:100M以上可用硬盘空间(纯面板约占20M磁盘空间)
系统:暂时只对 CentOS 6.x / 7.x 提供支持(暂不支持 Ubuntu、Debian);
确保是干净的操作系统,没有安装过其它环境带的Apache/Nginx/php/MySQL
4.面板管理常用命令:
宝塔 4.x 服务管理
#停止
service bt stop
#启动
service bt start
#重启
service bt restart
#卸载4.x面板
service bt stop && chkconfig --del bt && rm -f /etc/init.d/bt && rm -rf /www/server/panel
#查看当前面板端口
cat /www/server/panel/data/port.pl
#命令行修改面板端口,如要改成8881(centos 6)
echo '8881' > /www/server/panel/data/port.pl && service bt restart
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 8881 -j ACCEPT
service iptables save
service iptables restart
#命令行修改面板端口,如要改成8881(centos 7)
echo '8881' > /www/server/panel/data/port.pl && service bt restart
firewall-cmd --permanent --zone=public --add-port=8881/tcp
firewall-cmd --reload
#强制修改MySQL管理(root)密码,如要改成123456
cd /www/server/panel && python tools.pyc root 123456
#命令行修改面板密码,如要改成123456
cd /www/server/panel && python tools.pyc panel 123456
#站点配置文件位置
/www/server/panel/vhost
#删除面板域名绑定
rm -f /www/server/panel/data/domain.conf
#清理登陆限制
rm -f /www/server/panel/data/*.login
#第三方应用服务名称
nginx: nginx
apache: httpd
pure-ftpd: pure-ftpd
php5.2: php-fpm-52
php5.3: php-fpm-53
php5.4: php-fpm-54
以此类推
#php.ini位置,如php5.4的
/www/server/php/54/etc/php.ini
#my.cnf位置
/etc/my.cnf
5.面板包含软件:
Nginx-Tengine-2.2.0
Nginx1.8 - 1.10
Apache2.4.20
PHP5.2 - 7.1(安装时可选,支持多版本共存,除php7.0,php7.1都已包含zendloader)
MySQL5.5 - 5.7(安装时可选)
Pure-Ftpd
phpMyadmin
OpenResty
WEB在线面板
面板特色功能:
一键配置服务器环境(LANP/LNMP)
一键安全重启
一键创建管理网站、ftp、数据库
一键配置(定期备份、数据导入、伪静态、301、SSL、子目录、反向代理、切换PHP版本)
一键安装常用PHP扩展(fileinfo、intl、opcache、imap、memcache、apc、redis、ioncube、imagick)
数据库一键导入导出
系统监控(CPU、内存、磁盘IO、网络IO)
防火墙端口放行
SSH开启与关闭及SSH端口更改
禁PING开启或关闭
方便高效的文件管理器(上传、下载、压缩、解压、查看、编辑等等)
计划任务(定期备份、日志切割、shell脚本)
软件管理(一键安装、卸载、版本切换)
6.宝塔控制面板官网 https://www.bt.cn/
ECshop鸿宇小京东 - 微信公共号对接 redirect_url 参数错误
鸿宇教程库 • Shadow 发表了文章 • 0 个评论 • 635 次浏览 • 2017-07-30 13:29
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:这个问题完全是粗心造成的,在微信公共号所有填写的网址必须一致.
特别注意:微信公共号->设置->公共号设置->功能设置->网页授权域名(微信对接所有填写的网址必须保持一致,不要出现有的带www,有的不带www,必须是能正常访问且必须备案通过的网址,微信对接所有填写的网址一定要统一.) 查看全部
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:这个问题完全是粗心造成的,在微信公共号所有填写的网址必须一致.
特别注意:微信公共号->设置->公共号设置->功能设置->网页授权域名(微信对接所有填写的网址必须保持一致,不要出现有的带www,有的不带www,必须是能正常访问且必须备案通过的网址,微信对接所有填写的网址一定要统一.) 查看全部
官方出品:鸿宇科技
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:这个问题完全是粗心造成的,在微信公共号所有填写的网址必须一致.
特别注意:微信公共号->设置->公共号设置->功能设置->网页授权域名(微信对接所有填写的网址必须保持一致,不要出现有的带www,有的不带www,必须是能正常访问且必须备案通过的网址,微信对接所有填写的网址一定要统一.)
官方论坛:bbs.hongyuvip.com
官方QQ群:90664526
解决方案:这个问题完全是粗心造成的,在微信公共号所有填写的网址必须一致.
特别注意:微信公共号->设置->公共号设置->功能设置->网页授权域名(微信对接所有填写的网址必须保持一致,不要出现有的带www,有的不带www,必须是能正常访问且必须备案通过的网址,微信对接所有填写的网址一定要统一.)
