ecshop 过滤会员留言内容

php 过滤危险参数

最近，ecshop总是被挂马。在清除木马过程中发现后台会员留言功能如下图;
2019-04-25T10:18:55.png

这样在前台显示的时候a标签容易出现外链。

解决方案
在网站根目录下找到message.php文件找到78行
2019-04-25T10:21:48.png
将代码

'msg_content' => isset($_POST['msg_content']) ? trim($_POST['msg_content']) : '',

修改为：

'msg_content' => strip_tags(isset($_POST['msg_content']) ? trim($_POST['msg_content']) : ''),

测试提交留言内容：

Hello <b>world!</b>

后台展示结果为：

Hello world!