ecshop 过滤会员留言内容

@高效码农  April 25, 2019

php 过滤危险参数


最近,ecshop总是被挂马。在清除木马过程中发现后台会员留言功能如下图;
2019-04-25T10:18:55.png

这样在前台显示的时候a标签容易出现外链。

解决方案
在网站根目录下找到message.php文件找到78行
2019-04-25T10:21:48.png
将代码

'msg_content' => isset($_POST['msg_content']) ? trim($_POST['msg_content']) : '',

修改为:

'msg_content' => strip_tags(isset($_POST['msg_content']) ? trim($_POST['msg_content']) : ''),

测试提交留言内容:

Hello <b>world!</b>

后台展示结果为:

Hello world!


添加新评论