高效码农

ecshop 过滤会员留言内容

php 过滤危险参数


最近,ecshop总是被挂马。在清除木马过程中发现后台会员留言功能如下图;

这样在前台显示的时候a标签容易出现外链。

解决方案
在网站根目录下找到message.php文件找到78行

将代码

'msg_content' => isset($_POST['msg_content']) ? trim($_POST['msg_content']) : '',

修改为:

'msg_content' => strip_tags(isset($_POST['msg_content']) ? trim($_POST['msg_content']) : ''),

测试提交留言内容:

Hello <b>world!</b>

后台展示结果为:

Hello world!

当前页面是本站的「Google AMP」版。查看和发表评论请点击:完整版 »