宅男在线永久免费观看网直播,亚洲欧洲日产国码无码久久99,野花社区在线观看视频,亚洲人交乣女bbw,一本一本久久a久久精品综合不卡

全部
常見(jiàn)問(wèn)題
產(chǎn)品動(dòng)態(tài)
精選推薦

【漏洞修復(fù)/安全補(bǔ)丁】5.4之前版本通過(guò)api/products接口進(jìn)行sql注入的問(wèn)題

管理 管理 編輯 刪除
吳小汐 開(kāi)源/標(biāo)準(zhǔn)版 v5.4 2024-06-28 14:10:59
其他

5.4之前版本,會(huì)使用api/products接口的selectId參數(shù)進(jìn)行sql注入

修復(fù)辦法

1、修改crmeb/app/api/controller/v1/store/StoreProductController.php文件中的lst方法里面的接收參數(shù),修改成下圖

如果你的版本沒(méi)有coupon_category_id參數(shù)的話,不需要加入第三行

[['selectId', 'd'], 0],
[['productId', 'd'], 0],
[['coupon_category_id', 'd'], 0],

b5008202406281408459152.png

??注意 : 5.3之前的版本需要修改crmeb/app/services/product/product/StoreProductServices.php文件下的getGoodsList方法中

6a028202407091529489859.png

2、下載壓縮包,將里面的Request.php文件替換項(xiàng)目中的crmeb/app/Request.php這個(gè)文件

3、在crmeb/app/common.php 文件中最后增加下面代碼

if (!function_exists('filter_str')) {
    /**
     * 過(guò)濾字符串敏感字符
     * @param $str
     * @return array|mixed|string|string[]|null
     */
    function filter_str($str)
    {
        $rules = [
            '/\.\./', // 禁用包含 ../ 的參數(shù)
            '/\<\?/', // 禁止 php 腳本出現(xiàn)
            '/\bor\b.*=.*/i', // 匹配 'or 1=1',防止 SQL 注入(注意邊界詞 \b 和不區(qū)分大小寫(xiě) i 修飾符)
            '/(select[\s\S]*?)(from|limit)/i', // 防止 SQL 注入
            '/(union[\s\S]*?select)/i', // 防止 SQL 注入
            '/(having|updatexml|extractvalue)/i', // 防止 SQL 注入
            '/sleep\((\s*)(\d*)(\s*)\)/i', // 防止 SQL 盲注
            '/benchmark\((.*)\,(.*)\)/i', // 防止 SQL 盲注
            '/base64_decode\(/i', // 防止 SQL 變種注入
            '/(?:from\W+information_schema\W)/i', // 注意這里的 (?:...) 是不合法的,應(yīng)該是 (?:...) 表示非捕獲組,但通常我們不需要這個(gè)
            '/(?:current_|user|database|schema|connection_id)\s*\(/i', // 防止 SQL 注入(注意去掉了不必要的 (?:...))
            '/(?:etc\/\W*passwd)/i', // 防止窺探 Linux 用戶(hù)信息
            '/into(\s+)(?:dump|out)file\s*/i', // 禁用 MySQL 導(dǎo)出函數(shù)
            '/group\s+by.+\(/i', // 防止 SQL 注入
            '/(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(/i', // 禁用 webshell 相關(guān)某些函數(shù)
            '/(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/\//i', // 防止一些協(xié)議攻擊(注意協(xié)議后的三個(gè)斜杠)
            '/\$_(GET|POST|COOKIE|FILES|SESSION|ENV|GLOBALS|SERVER)\[/i', // 禁用一些內(nèi)置變量,注意 PHP 變量名通常是大寫(xiě)的
            '/<(iframe|script|body|img|layer|div|meta|style|base|object|input)/i', // 防止 XSS 標(biāo)簽植入
            '/(onmouseover|onerror|onload|onclick)\=/i', // 防止 XSS 事件植入
            '/\|\|.*?(?:ls|pwd|whoami|ll|ifconfig|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)/i', // 防止執(zhí)行 shell(注意去掉了不合適的 ifconfog)
            '/\sand\s+.*=.*/i' // 匹配 and 1=1
        ];
        if (filter_var($str, FILTER_VALIDATE_URL)) {
            $url = parse_url($str);
            if (!isset($url['scheme'])) return $str;
            $host = $url['scheme'] . '://' . $url['host'];
            $str = $host . preg_replace($rules, '', str_replace($host, '', $str));
        } else {
            $str = preg_replace($rules, '', $str);
        }
        return $str;
    }
}

4、修改crmeb/app/model/product/product/StoreCategory.php,修改whereIn的第二個(gè)參數(shù)為

is_array($value) ? $value : (string)$value

10269202407150846062860.png

附件

Request.zip

請(qǐng)登錄后查看

常見(jiàn)問(wèn)題 標(biāo)準(zhǔn)版

吳小汐 最后編輯于2024-07-15 08:46:13

快捷回復(fù)
回復(fù)
回復(fù)
回復(fù)({{post_count}}) {{!is_user ? '我的回復(fù)' :'全部回復(fù)'}}
排序 默認(rèn)正序 回復(fù)倒序 點(diǎn)贊倒序

{{item.user_info.nickname ? item.user_info.nickname : item.user_name}} LV.{{ item.user_info.bbs_level }}

作者 管理員 企業(yè)

{{item.floor}}# 同步到gitee 已同步到gitee {{item.is_suggest == 1? '取消推薦': '推薦'}}
{{item.is_suggest == 1? '取消推薦': '推薦'}}
沙發(fā) 板凳 地板 {{item.floor}}#
{{item.user_info.title || '暫無(wú)簡(jiǎn)介'}}
附件

{{itemf.name}}

{{item.created_at}}  {{item.ip_address}}
打賞
已打賞¥{{item.reward_price}}
{{item.like_count}}
{{item.showReply ? '取消回復(fù)' : '回復(fù)'}}
刪除
回復(fù)
回復(fù)

{{itemc.user_info.nickname}}

{{itemc.user_name}}

回復(fù) {{itemc.comment_user_info.nickname}}

附件

{{itemf.name}}

{{itemc.created_at}}
打賞
已打賞¥{{itemc.reward_price}}
{{itemc.like_count}}
{{itemc.showReply ? '取消回復(fù)' : '回復(fù)'}}
刪除
回復(fù)
回復(fù)
查看更多
打賞
已打賞¥{{reward_price}}
9037
{{like_count}}
{{collect_count}}
添加回復(fù) ({{post_count}})

相關(guān)推薦

快速安全登錄

使用微信掃碼登錄
{{item.label}} 加精
{{item.label}} {{item.label}} 板塊推薦 常見(jiàn)問(wèn)題 產(chǎn)品動(dòng)態(tài) 精選推薦 首頁(yè)頭條 首頁(yè)動(dòng)態(tài) 首頁(yè)推薦
取 消 確 定
回復(fù)
回復(fù)
問(wèn)題:
問(wèn)題自動(dòng)獲取的帖子內(nèi)容,不準(zhǔn)確時(shí)需要手動(dòng)修改. [獲取答案]
答案:
提交
 bug 需求 取 消 確 定
打賞金額
當(dāng)前余額:¥{{rewardUserInfo.reward_price}}
{{item.price}}元
請(qǐng)輸入 0.1-{{reward_max_price}} 范圍內(nèi)的數(shù)值
打賞成功
¥{{price}}
完成 確認(rèn)打賞

微信登錄/注冊(cè)

切換手機(jī)號(hào)登錄

{{ bind_phone ? '綁定手機(jī)' : '手機(jī)登錄'}}

{{codeText}}
切換微信登錄/注冊(cè)
暫不綁定
CRMEB客服

CRMEB咨詢(xún)熱線 咨詢(xún)熱線

400-8888-794

微信掃碼咨詢(xún)

CRMEB開(kāi)源商城下載 源碼下載 CRMEB幫助文檔 幫助文檔
返回頂部 返回頂部
CRMEB客服